Chrome - ブラウザのCookieをクリアした後でも、Webアプリケーションに対して自動的に認証されるのはなぜですか。

13

Chromeを使用してWebアプリケーションにアクセスしています。アプリからログアウトして、すべてのChrome履歴/ Cookie / etc(現在は同じClear History領域にあるChromeによって処理されているFlash Cookieを含む)をすべて消去してからサイトに再度アクセスすると、自動的にログインします。 なしで 資格情報の入力を求められます。

その後、Chromeをシークレットモードで起動し、同じ動作を再現することができました。 しかしながら 、私は促されました 最初 シークレットモードでログオンします。

Webアプリケーションは、Internet Explorer 10では正常に動作します。

アプリケーションに関するいくつかの情報:

  • NTLM認証を使用したSharepointサイトです
  • ユーザー名は次のとおりです。資格情報はActive Directoryベースです。 ドメイン\ユーザー名
  • 私の接続はインターネットを介しており、私のローカルのWindowsアカウントと私のWindows PCの間にはADの関係はありません。言い換えれば、私(私のローカルログオンユーザーと私のPCを意味する)は、決してADドメインの一部ではありません。
  • サイトはポート443でSSLを実行しています

Chromeが自動的に認証されるのはなぜですか。

google-chrome  security  browser  internet-explorer  authentication 
Howiecamp
ソース
それがADを使用している場合は、基本的なHTTP認証を使用していない可能性があります。すでにAD認証情報を認証しているのであれば、Chromeが再度自動認証を要求していないのかもしれません。
Ramhound
@Ramhound - いいキャッチ。 F12ツールを使用して、NTLM認証を使用していることを確認しました。しかし、いずれにしても、ブラウザのCookieをすべて消去した場合、サイトはどのように私を記憶しているのでしょうか。私が以前と同じ人物であることを判断するためのセッションメカニズムがまだ必要です。また明確にするために、私の唯一の認証はブラウザによるものです。
Howiecamp
@Ramhound - そのIEも忘れないで です 私にもう一度促します。
Howiecamp
FiddlerまたはWiresharkを使用して、ログイン認証情報を使用してKerberos / SPNEGO認証が自動的に行われているかどうかを確認します(探します www-authentication: HTTPヘッダなどそれはIPか何かに基づいてあなたのログインをキャッシュしているかもしれません。これは本当にサーバー側でデバッグする必要がある問題ですが、少なくともクライアント側からはクリーンセッションでどんな種類の認証(もしあれば)が行われているのか、そして(もしあれば)どの情報が見られるでしょうブラウザがリモートサイトに送信しています。
allquixotic
1
It's a Sharepoint site using NTLM authentication - NTLM認証の最大のポイントは、認証を求められないことです。あなたの資格情報は自動的に渡されます。別のユーザーとして認証したい場合は、ブラウザを再起動して別のユーザーとして実行してください。
Zoredache

回答:

5

同じ問題があります。以前は資格情報を使用して1つのWebサイトにログオンしていましたが、現在他のWebサイトにログオンすることはできません。ログオフして再度ログオンしようとすると、Chromeは確認メッセージを表示せずに自動的にAuthorizationヘッダーを追加します。 このサイトは、ローカルユーザーデータベース(ADではなくプレーンな.htpasswdファイル)を使用し、基本認証を使用しています。

すべてのクッキーと保存されているパスワードのクリーニングを試みました。運がありません。 そして、これはChromeと1台のPCでのみ起こります(私のGoogleアカウントを持つChromeの他のPCでは正しく動作し、ログオン後に認証情報を要求します)。

私の主な目標は別のユーザーとして認証することだったので、私はこの問題の回避策を見つけました。私はFiddlerを実行し、そこでブレークポイントを有効にしました。そのため、Authorizationヘッダーを指定してリクエストすると、401応答が強制され、認証ウィンドウが表示されるようになりました。それから私は必要な資格情報を提供し、私の問題は修正されました。

しかし、それはそれらの資格情報が保存されている場所の質問には答えません

Ralfeus
ソース
2

そのサイトはおそらくローカルストレージを使用しています [1] [2] これはHTML5のクッキーのようなものです。

頼まれた 、ローカルストレージを消去する方法、残念ながら、Chromeは現在ローカルストレージを 閲覧履歴データの消去 ダイアログ。当面の間は、そのサイトに対応するファイルを Local Storage あなたのフォルダ ユーザデータディレクトリ

Synetech
ソース
0

Chrome設定の[Google Chromeを閉じてもバックグラウンドアプリケーションの実行を継続する]のチェックを外し、ブラウザのデータを消去します。

Fergara
ソース
0

これは質問に答えませんが、資格情報を変更するための回避策です。

  1. インターネットオプションに行く
  2. セキュリティタブをクリックします
  3. ウェブサイトがどのゾーンに属していると思われるかについてのあなたの最も正しい推測をクリックしてください。私にとっては、仕事用のイントラネットサイトで間違った資格情報を使用していて、ドメイン管理者が自動的にそのURLを "Local Intranet"に追加していました。 「サイト」を編集する権限がまったくありませんでした。少なくとも見ることはできました。
  4. そのゾーンの場合は、[レベルのカスタマイズ]をクリックします。
  5. 一番下までスクロールして、[ユーザー名とパスワードを要求する]を選択します。
  6. 「OK」をクリックして保存してください
  7. 新しい設定が反映されるようにChromeを再起動します
  8. 問題のWebサイトに直接移動します。
    最初、私はメインのイントラネットWebサイト(私のホームページ)の入力を求められ、資格情報を入力しました。それから私は問題のサイトへのリンクをクリックしました。それは同じドメインを持っていますが、異なるサブドメインを持っています。私は再入力を求められませんでした。 Chromeを再起動し、最初のプロンプトからキャンセルし、問題のURLに直接移動したところ、プロンプトが表示され、そのサイトの認証情報を変更できました。
  9. 「正しい」アカウントで認証されたら、Chromeは最新の認証情報を知っているので、自動ログイン用に設定を元に戻すことができます。

アイデアの功績は https://sysadminspot.com/windows/google-chrome-and-ntlm-auto-logon-using-windows-authentication/

emragins
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.