オートコンプリートによるセキュリティリスク


3

表示されないオートコンプリートフィールドを持つWebサイトを聞いたことがあるので、ユーザーがオートコンプリートを使用すると追加情報がキャプチャされます(例:隠しアドレスフィールド。オートコンプリートでのみ埋められます)。

読むとき 答え Google Chromeにパスワードの記憶を強制することはできますか。 これが他のフィッシング詐欺やその他のプライバシー/セキュリティホールにつながる可能性があるのであれば、それは問題にならないでしょう。

回答:


5

あなたが参照する機能は オートフィル しかし、Webページでは(フォームの)オートコンプリートと呼ばれることがよくあります。

これは、入力するものを識別するためにフォームからのフィールド名を使用します。 「不正」ページがこのフィールドをまったくレンダリングしないと決定した場合は、見逃してしまう可能性があります。しかし、ほとんどの方法では、自動化はドメイン名のような詳細を使ってフィールドにキーを入力します(同じユーザー名を持っているからといって、サイト間で同じパスワードを使うことはありません)。

これを言っても、そもそも重要なパスワード(例えばあなたの銀行)がそのような自動化メカニズムによって記憶されないようにすることはお勧めです。ブラウザからそのようなデータを乗っ取る方法はたくさんありますが、それらはすべて現在利用可能な脆弱性に依存しています。

例:using ラストパスによる自動記入
重要なパスワードにこれを使用しないことを選択することもできます - AmExの例


コメントに基づいて更新します。
それは人間のパターンマッチングの不具合に限定されないため、自動化は通常フィッシング攻撃のより良い区別をします。しかし、私たち二人はそれを理解していると思います。これでform-auto-completeの部分が残ります - このmozillaのページをご覧ください。 フォームの自動補完をオフにする 。使わないで :-)
私は思います lastpass 方法は比較的適しています。


お返事ありがとうございます。私は、Xサイトへの私のパスワードはXサイトでのみ自動補完されることを知っています。私はあなたがフィッシングされているページを参照していると思います(ユーザーが個人情報を公開することを期待して、別のページのように見えるふりをします)。私は、すべてのフィールドを表示するわけではない、ユーザーがオートコンプリートを使用し、自分の個人情報の多くが自分の見るよりも多く記入されることを願っています。また、表示されていない「住所」または「姓」フィールドも入力されます。
wizlog

最後のパスでセキュリティ事故が発生しました:blog.lastpass.com/2011/05/lastpass-security-notification.html。通常、サードパーティのパスワードマネージャはブラウザの一部ではないため(プラグインを介して対話する場合は)、より安全性が高くなりますが、ベンダーの信頼性に問題があります。
lupincho

隠しフィールドについて:サードパーティのパスワードマネージャでは、通常どのフィールドが保存されているかがわかります
lupincho

@lupincho、私はそのラストパスグリッチについて聞いたことがあります。一般的に、私はこれらのことを典型的なログインとフォーム管理のために使うことをお勧めします。
nik

@ nik、はい。私はちょうどそれが1つの問題を別の問題に置き換えていることを主張していました。しかし、「普通の」パスワードの場合、保存されている内容をより適切に管理できるため、サードパーティの管理者が問題の解決に役立つはずです。
lupincho
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.