8:30
25/4/2014

* Chrome ignoruje autocomplete=off

Z ciekawego, wartego rozważenia powodu. Co Wy na to?

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.


30 komentarzy

Dodaj komentarz
  1. Bardzo dobry ruch.

    Teraz każdy p……y site uważa, że jest naważniejszy na świecie i hasła do niego trzeba wpisywać ręcznie.
    Efekt:
    – hasła takie same w setkach serwisów
    – hasła budowane według bardzo prostego schematu

    Bo nikt normalny nie zapamieta tysięcy haseł do stron które wyłaczyły zapisywanie haseł, z których się korzysta raz na kilka miesięcy albo rzadziej.

    Jak wygląda praktyka kontra np. wymagania ustawy o ochronie danych osobowych najlepiej widać na przykładzie programu Płatnik. Hasło do płatnika jest w stylu miesiącROK.
    Dlaczego?
    Ano dlatego, że trzeba je zmieniać raz na 30 dni (ustawa), a z płatnika w większości firm korzysta się raz w miesiącu. :>
    Wynik może byc tylko jeden i to taki od którego w bezpieczeństwie uciekamy – słabe hasła, hasła takie same w różnych serwisach, żółte karteczki.
    Sam zaś sposób zapisu hasła w płatniku to ….. :> (hint: koala ratownik)

    Jak ktoś ceni sobie bezpieczeństwo, to ma bezpieczny komputer (dodatki jak np. no-script, request policy), hasła losowe i unikalne trzyma w przeglądarce (może poza najważniejszymi). Tylko jak mam do tego korzystać z menadzera hasłe do stron które wymagają logowania aby ściągnąć ten jeden pdf/mp3 na rok to szybko się odechciewa.

    Swoją drogą kiedy jeszcze zauważą ludzie od bezpieczeństwa pewien idiotyzm.
    Zakładasz konto, musisz wpisać “trudne” hasło, bo proces nie puści dalej. Następnie musisz wybrać sposób resetowania hasła jak zapomnisz. Odpowiedz na jedno z kilku pytań w stylu
    pierwszy pies :>
    Ilość entropia takiej odpowiedzi powala. :>
    Przypomina mi to jak ponad dekadę temu jeździłem po różnych serwerowniach i widziałem pancerne drzwi wejściowe do serwerowni wyglądające jakby miały wytrzymac bliski wybuch bomby atomowej w ścianie z karton gipsu. :)

    • Lepsze zapamietyweanie haseł w chrome niż nic, jednak moim zdaniem lepsze są programy typu password safe czy keepass dzieki ktorym mozna trzymac w jednym miejscu hasła a przy tym nie musimy sprzedawac swojej lojalnosci wobec jednej przegladarki – zwłaszcza tej od wielkiego brata.

    • mnmnc: na linuksie Chrome(-ium) przechowuje hasla w KWallet badz Gnome Keyring, czyli standardowo jak wiekszosc programow pisanych pod KDE/Gnome/Ubuntu. Oczywiscie hasla ktore tam zapisze moze bez problemu wyciagnac i przeslac gdziekolwiek, ale to samo moze tez zrobic, gdy je wpiszemy/wkleimy. Co wiecej, uzywajac copy/paste do transferu hasla kazda aplikacja w systemie moze je pobrac ze schowka.

  2. Bardzo dobrze, strasznie mnie irytują strony, które “wiedzą lepiej” czy chcę zapamiętać hasło do nich, czy nie. To już nie tylko banki, ta moda dociera do coraz większej liczby serwisów. Jako że na każdej stronie używam unikalnego maila i losowo wygenerowanego hasła, nie mam innej opcji niż trzymać te hasła zapisane gdzieś w pliku i je stamtąd kopiować za każdym razem. Dobrze, że ktoś wymyślił prostsze rozwiązanie tego problemu, mam nadzieję że w Firefoksie też się pojawi.

    • OMG….. pozazdrościć wytrwałości……. Ja mam na odwrót – jeden mail, jedno hasło. A z dodatku, który ignorował autocomplete=off i tak korzystam od dawna.

  3. Zdecydowanie przeglądarka powinna służyć użytkownikowi a nie autorowi strony.
    Aż dziwne, że Google to robi bo do tej pory tylko stara Opera stawiała użytkownika na pierwszym miejscu (bogactwo opcji pozwalających wyświetlić stronę tak jak chce użytkownik (np. własne style, wyłączanie wybranych funkcji js) było jedną z najważniejszych jej zalet).

    • Jesteś pewien, że chciałbyś, żeby przeglądarka zapisywała Twoje dane logowania np. na strony banków? Bo raczej najczęściej tego typu witryny korzystają z opcji autocomplete=off.

    • Nie korzystam z Chrome ale zakładam, że jak każda normalna przeglądarka, pyta czy zapisać hasło i nie zapisuje go bez zgody/żądania użytkownika.
      Chcę, żebym o tym do których witryn przeglądarka zapisze hasło a do których nie zapisze decydował ja a nie autocomplete=off.

  4. A to nie jest tak, że banki mogą zmienić pole hasła, żeby Chrome się nie domyślił, że to jest hasło?

    • Tzn., co mają zmienić? type=”password” na type=”text”? :-)

    • I zasłonić warstwą CSS z z-index ;)

    • Nie, każdy tak może.

    • Piotrze drogi, warstwa z z-index nie potrzebna, wystarczy dać do onChange pola tekstowego jakąś funkcję JS która
      a) doda ostatnio wpisany znak (albo usunie jak ktoś wpisze backscape) do zmiennej hasło albo coś podobnego
      b) zmieni pole hasła na * o długości odpowiadającej długości hasła.

      Skoro ja umiałem napisać “bezpieczne” wpisywanie hasła (gwiazdki), w turbo pascalu w wieku 10 lat (do tego z obsługą poruszania się strzałkami i dodawania liter w środku hasła a także obsługą delete, oczywiście hasełko hardcoded, bo miałem 10 lat), to mózgi webmajsterskie tym bardziej mogą takie coś w JS zrobić.

    • @SuperTux:

      $(document).on(‘submit’, ‘form’, function(e){
      e.preventDefault();
      var f = $(this).clone();
      f.find(‘input[type=”password”]’).attr(‘type’, ‘text’);
      f.submit();
      });

    • Odnośnie obsługi wygwiazdkowywania hasła w Javascript: snippety dajecie, jeszcze ktoś to na poważnie weźmie.

      A potem będzie takie superbezpieczne i używalne, że komuś z noscriptem hasło będzie widoczne. :P

  5. Wychodzi na to, że Firefox też będzie miał tę funkcję. Nie wiem czy w RTM domyślnie włączoną – w wersji 29 RC1 jest wyłączona. Funkcja w about:config nazywa się signon.overrideAutocomplete.

    • Wydania nocne Firefox Nightly 31a mają już tę opcję włączoną domyślnie, z automatu ignorują autocomplete=off.

  6. na Safari pod iOS jest override AutoComplete=OFF – oczywiście można mieć to aktywne lub nie, a jak jest aktywne, to w każdym przypadku browser pyta czy zapamiętać konkretne hasło

  7. A zauważył ktoś że od jakiegoś czasu (artykułu na niebezpieczniku o tym) chrome chce hasło administratora aby przejrzeć sobie zapisane hasła? Tzn wchodzimy w ustawienia wyświetl hasło i aby je “odkryć” trzeba hasło do systemu wpisać;)

  8. No i bardzo dobrze robią. Ale mnie najbardziej wkurza wymuszanie ‘mocnych’ haseł w serwisach internetowych. Po co numerek i duża litera (i tak użytkownik wpisze najkrótsze jakie da radę bo ciężko zapamiętać), nie lepiej proste do zapamiętania hasło składające się z 4, 5 wyrazów (łącznie ~20-30+ znaków) – które szybciej zostanie złamane? Oczywiście te pierwsze…

    • Był nawet komiks xkcd o tym, cos o koniach i podkowach (poprawnych do tego), ale ograne to i do tego zgubiłem link.

    • @SuperTux
      Widziałem ten pasek z xkcd, ale przestawione “wyliczenia” jakoś przeczą logice.

  9. Bardzo dobry ruch, ja też jestem za tym żeby przeglądarka pozwalała na zapamiętywanie haseł niezależnie do tego co uważa o tym projektant serwisu.

  10. Mam najnowszą wersję Firefox Nightly i niestety nie zapisuje hasła np do Alior Banku ani loginu.
    Tak BTW to jak właśnie wygląda ta opcja przy hasłach maskowanych jak to ma miejsce w wielu bankach

    • u mnie zapisuje się. podejrzewam że to kwestia ustawien Twojej przegladarki, pluginow itp

  11. Cóż w bankach powinni zacząć generowac nazwy pól z loginem oraz hasłem jako md5(cośtam) bo już przypadkiem moje hasło powędrowało do chmury googla :>

    • Powedrowalo samo, bo Google wykradlo, a nie dlatego, ze nierozwazny uzytkownik dobrowolnie ustawil w Chrome wysylanie hasel w chmure oraz zarzadal zapisania hasla do banku po jego wpisaniu, zamiast dodac strone do listy stron, na ktorych hasla nigdy nie sa zapisywane ;-)

  12. No cóż, natknąłem się na tego buga niedawno, nie wiedząc dokładnie o co chodzi. Nazywam to bugiem, gdyż moje użycie pola password to nie jest koniecznie to, co widzimy na większości stron.

    Jedyna opcja, która pozwoliła mi wyłączyć tą „funkcjonalność”, jest opisana poniżej:
    http://stackoverflow.com/a/22984830/3256901

  13. Jednolinijkowy skrypt który leczy raka:
    javascript:(function(){var%20fm=document.getElementsByTagName(‘input’);for(i=0;i<fm.length;i++){fm[i].setAttribute('autocomplete','on');}})()

    Zapisz jako bookmarklet, kliknij przed wpisaniem hasła. Zapamięta się :)

  14. Firefox od niedawno wypuszczonej wersji 30.0 też ignoruje autocomplete
    http://bugzilla.mozilla.org/show_bug.cgi?id=956906

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: