+- PHP Rocks (https://www.php-rocks.de)
+-- Forum: HTML, CSS, Usability und Barrierefreiheit (https://www.php-rocks.de/https://www.php-rocks.de/forum/11-html-css-usability-und-barrierefreiheit.html)
+--- Forum: HTML & CSS (https://www.php-rocks.de/https://www.php-rocks.de/forum/12-html-css.html)
+--- Thema: autocomplete attribute exploit? (/https://www.php-rocks.de/thema/152-autocomplete-attribute-exploit-.html)
autocomplete attribute exploit? - Till - 13.01.2018
Hallo allerseits,
nicht grad viel los hier?
Irgendsoein Browser (Opera) "meckert", bzw. "empfiehlt" für input Felder das "autocomplete-Attribute" zu verwenden.
https://html.spec.whatwg.org/multipage/form-control-infrastructure.html#autofilling-form-controls:-the-autocomplete-attribute
Soweit so gut, aber:
- (Zum einen habe ich evtl. eine "custom" autocomplete Funktion)
- Diese Empfehlung wird bei mir auch für passwort-Felder angezeigt.
Letzteres fände ich als Benutzer nicht so prickelnd, wenn die VERSCHIEDENEN Seiten mir ein autofill mit vorherigen Passwörtern anzeigen würde (diese könnten wahrscheinlich mit Javascript ausgelesen werden?), ich habe den Link kurz überflogen auf schnell aber nichts dazu gefunden ob passwort-autofills (wtf) irgendwie Origin-gekapselt gespeichert werden!?
Hat jemand dazu Infos/Meinungen?
Viele Grüße
Till
RE: autocomplete attribute exploit? - Arne Drews - 17.01.2018
Hi Till,
Das Attribut wird empfohlen, aber Du kannst es auch off setzen:
Code:
<input type="text" name="username" autocomplete="on">
<input type="password" name="password" autocomplete="off">ungetestet, da ich Opera nicht im Einsatz habe.
Gruß Arne
RE: autocomplete attribute exploit? - Till - 19.01.2018
Hallo Arne,
Zitat: aber Du kannst es auch off setzenJa schön, das aber als Webmaster/Serverseitig, wenn ich es auf "on" habe forciere ich damit ein autocomplöete beim client?
In der Regel haben Browser ja diese Funktion browserseitig de-/aktivierbar.
Ich möchte aber vl. nicht das irgendeine Internetseite ein "origin-übergreifendes" autocomplete in meinem Browser erzwingt (also eines welches auf eingaben in meinem browser beruht, nicht serverseitig)?
mfg
Till
RE: autocomplete attribute exploit? - Arne Drews - 19.01.2018
(19.01.2018, 21:44)Till schrieb: Ja schön, das aber als Webmaster/Serverseitig, wenn ich es auf "on" habe forciere ich damit ein autocomplöete beim client?autocomplete ist ein HTML-Attribut, diese werden von den Browsern unterstützt oder auch nicht. Server seitig spielt sich da nichts ab, oder habe ich Dich jetzt falsch verstanden?
RE: autocomplete attribute exploit? - Till - 20.01.2018
(19.01.2018, 23:17)Arne Drews schrieb:(19.01.2018, 21:44)Till schrieb: Ja schön, das aber als Webmaster/Serverseitig, wenn ich es auf "on" habe forciere ich damit ein autocomplöete beim client?autocomplete ist ein HTML-Attribut, diese werden von den Browsern unterstützt oder auch nicht. Server seitig spielt sich da nichts ab, oder habe ich Dich jetzt falsch verstanden?
"Serverseitig" setze ich das Attribute, beim client/Browser wirkt es (wenn unterstützt), und so wie auch immer "autocomplete" "suggestions" zum input element hinzugefügt werden (z.B. clientseitig aber vom server "forciert") so kann ich sie ("session replay", e.g.) zum Beispiel mit Javascript zwar im Client auslesen, aber auch z.B. per Beacon wieder an den Server senden?
... , oder?
Das gleiche ist m.E. schon der Fall wenn ich selbige Option IM BROWSER aktiviert habe, so wie ich es lese ERZWINGT(?) das Attribute aber diese Funktion?
Ich gebe zu, ich habe vom verlinkten Artikel nicht alles gelesen, aber bevor ich mich hier vertue, Frage ich hier mal nach wie verhält es sich damit?
RE: autocomplete attribute exploit? - Arne Drews - 20.01.2018
So wie ich das lese, musst Du Client seitig für die Quelldaten sorgen. Das Beispiel, das DU verlinkt hast zeigt dies eigentlich ganz gut.
RE: autocomplete attribute exploit? - Till - 20.01.2018
Zitat:So wie ich das lese, musst Du Client seitig für die Quelldaten sorgen.Ja, sogar sorgt clientseitig der browser ja schon mit einer ähnlichen funktion dafür solange ich sie nicht deaktiviere by the way,
aber wieso soll eine internetseite mit einem html attribute clientseitig dafür sorgen?
Ich habe schon verstanden wie es funktioniert, meine Frage zielt aber darauf ab, das wenn "ich" bzw. die internetseite mit autocomplete attribute, und der client der das attribute unterstützt und damit entsprechend "für die Quelldaten sorgt", das also "ich" die Eingabe später auslesen kann!!!
Konkret geht es um ein Passwort Eingabe Feld.
Ich sehe keinen Anlaß hier irgendwelche autocomplete Eingaben "zu forcieren", für eine "username" Feld sehe ich ja schon ein das ich öfterS den selben Namen verwende, aber für ein Passwort Feld?
Das sollte man meiner humpelnden Meinung nach keinem Benutzer, oder gar Webdesigner "anraten"?
...???
mfg
Till
RE: autocomplete attribute exploit? - Arne Drews - 20.01.2018
Nein, für ein Passwort-Feld empfinde ich das auch für absolut falsch.
Aber Du hast gesagt, Dein Opera meckert, dass Du das Attribut nicht verwendest. Mit dem Value off kannst Du es verwenden, ohne dass es von der automatischen Befüllung betroffen ist. So verstehe ich das zumindest, habe das allerdings noch nicht getestet.
Die Frage stellt sich für mich auch, warum der Opera darauf besteht?
Ich habe nun wirklich viele verschiedene Browser am Start, aber keiner von denen meckert meine Formulare wegen dem Attribut an.
Habe das auch ehrlich gesagt noch nie verwendet.
Gruß Arne