PHP rocks! wünscht allen Mitgliedern einen guten Rutsch ins neue Jahr 2017 !!!
Hinweis: Das Forum zieht um! Um keine Datenverluste zu haben, schalten wir zwecks Übernahme der Daten das Forum am Sonntag, den 24.04.2016 um ca. 21:00 Uhr offline und passen anschliessend die DNS-Einträge an.
www.php-rocks.de wird euch dann nach den Aktualisierungen der DNS-Server wieder wie gewohnt uneingeschränkt zur Verfügung stehen.
Danke für euer Verständnis!

Themabewertung:
  • 0 Bewertung(en) - 0 im Durchschnitt
  • 1
  • 2
  • 3
  • 4
  • 5
autocomplete attribute exploit?
#1
Hallo allerseits,
nicht grad viel los hier?

Irgendsoein Browser (Opera) "meckert", bzw. "empfiehlt" für input Felder das "autocomplete-Attribute" zu verwenden.
https://html.spec.whatwg.org/multipage/form-control-infrastructure.html#autofilling-form-controls:-the-autocomplete-attribute

Soweit so gut, aber:
- (Zum einen habe ich evtl. eine "custom" autocomplete Funktion)
- Diese Empfehlung wird bei mir auch für passwort-Felder angezeigt.

Letzteres fände ich als Benutzer nicht so prickelnd, wenn die VERSCHIEDENEN Seiten mir ein autofill mit vorherigen Passwörtern anzeigen würde (diese könnten wahrscheinlich mit Javascript ausgelesen werden?), ich habe den Link kurz überflogen auf schnell aber nichts dazu gefunden ob passwort-autofills (wtf) irgendwie Origin-gekapselt gespeichert werden!?

Hat jemand dazu Infos/Meinungen?

Viele Grüße
Till
Antworten
#2
Hi Till,

Das Attribut wird empfohlen, aber Du kannst es auch off setzen:
Code:
<input type="text" name="username" autocomplete="on">
<input type="password" name="password" autocomplete="off">
Dann dürfte er eigentlich nicht mehr meckern, da Du das Attribut ja wie gewünscht verwendest.
ungetestet, da ich Opera nicht im Einsatz habe.

Gruß Arne
Antworten
#3
Hallo Arne,
Zitat: aber Du kannst es auch off setzen
Ja schön, das aber als Webmaster/Serverseitig, wenn ich es auf "on" habe forciere ich damit ein autocomplöete beim client?
In der Regel haben Browser ja diese Funktion browserseitig de-/aktivierbar.
Ich möchte aber vl. nicht das irgendeine Internetseite ein "origin-übergreifendes" autocomplete in meinem Browser erzwingt (also eines welches auf eingaben in meinem browser beruht, nicht serverseitig)?

mfg
Till
Antworten
#4
(19.01.2018, 21:44)Till schrieb: Ja schön, das aber als Webmaster/Serverseitig, wenn ich es auf "on" habe forciere ich damit ein autocomplöete beim client?
autocomplete ist ein HTML-Attribut, diese werden von den Browsern unterstützt oder auch nicht. Server seitig spielt sich da nichts ab, oder habe ich Dich jetzt falsch verstanden?
Antworten
#5
(19.01.2018, 23:17)Arne Drews schrieb:
(19.01.2018, 21:44)Till schrieb: Ja schön, das aber als Webmaster/Serverseitig, wenn ich es auf "on" habe forciere ich damit ein autocomplöete beim client?
autocomplete ist ein HTML-Attribut, diese werden von den Browsern unterstützt oder auch nicht. Server seitig spielt sich da nichts ab, oder habe ich Dich jetzt falsch verstanden?

"Serverseitig" setze ich das Attribute, beim client/Browser wirkt es (wenn unterstützt), und so wie auch immer "autocomplete" "suggestions" zum input element hinzugefügt werden (z.B. clientseitig aber vom server "forciert") so kann ich sie ("session replay", e.g.) zum Beispiel mit Javascript zwar im Client auslesen, aber auch z.B. per Beacon wieder an den Server senden?
 
 ... , oder?

Das gleiche ist m.E. schon der Fall wenn ich selbige Option IM BROWSER aktiviert habe, so wie ich es lese ERZWINGT(?) das Attribute aber diese Funktion?

Ich gebe zu, ich habe vom verlinkten Artikel nicht alles gelesen, aber bevor ich mich hier vertue, Frage ich hier mal nach wie verhält es sich damit?
Antworten
#6
So wie ich das lese, musst Du Client seitig für die Quelldaten sorgen. Das Beispiel, das DU verlinkt hast zeigt dies eigentlich ganz gut.
Antworten
#7
Zitat:So wie ich das lese, musst Du Client seitig für die Quelldaten sorgen.
Ja, sogar sorgt clientseitig der browser ja schon mit einer ähnlichen funktion dafür solange ich sie nicht deaktiviere by the way,
aber wieso soll eine internetseite mit einem html attribute clientseitig dafür sorgen?
Ich habe schon verstanden wie es funktioniert, meine Frage zielt aber darauf ab, das wenn "ich" bzw. die internetseite mit autocomplete attribute, und der client der das attribute unterstützt und damit entsprechend "für die Quelldaten sorgt", das also "ich" die Eingabe später auslesen kann!!!

Konkret geht es um ein Passwort Eingabe Feld.
Ich sehe keinen Anlaß hier irgendwelche autocomplete Eingaben "zu forcieren", für eine "username" Feld sehe ich ja schon ein das ich öfterS den selben Namen verwende, aber für ein Passwort Feld?
Das sollte man meiner humpelnden Meinung nach keinem Benutzer, oder gar Webdesigner "anraten"?

...???

mfg
Till
Antworten
#8
Nein, für ein Passwort-Feld empfinde ich das auch für absolut falsch.

Aber Du hast gesagt, Dein Opera meckert, dass Du das Attribut nicht verwendest. Mit dem Value off kannst Du es verwenden, ohne dass es von der automatischen Befüllung betroffen ist. So verstehe ich das zumindest, habe das allerdings noch nicht getestet.

Die Frage stellt sich für mich auch, warum der Opera darauf besteht?
Ich habe nun wirklich viele verschiedene Browser am Start, aber keiner von denen meckert meine Formulare wegen dem Attribut an.
Habe das auch ehrlich gesagt noch nie verwendet.

Gruß Arne
Antworten


Gehe zu: