Microsoft Internet Explorer 11 nepodporuje vlastnost autocomplete

Internet Explorer 11, který je k dispozici pro operační systém MS Windows 7 a vyšší, nepodporuje vlastnost autocomplete=“off“ a to u pole input type=“password“.

Prohlížeč se uživatele samozřejmě zeptá, zda si přeje heslo uložit nebo ne, ovšem pokud uživatel klikne na tlačítko ANO, tak se heslo uloží. Uživatel též může v dialogu zaškrtnout, že už nechce, aby mu prohlížeč zapamatování hesel nabízel a kliknout na tlačítko NE. V tomto případě se heslo neuloží a systém již nebude uživateli možnost uložení hesla nabízet.

Toto nastavení lze kdykoliv změnit a hesla, která se ukládají do systému, je možné spravovat přes Správce pověření (Credential Manager), jenž je dostupný přes Ovládací panely (Control Panel) a volbu Webová pověření (Web credentials), kde se dají hesla uložená pro jednotlivé weby zobrazit nebo smazat a hlavně zde lze nastavit, zda se mají nově zadaná hesla nadále ukládat a zda má systém jejich zapamatování uživateli nabízet.

Do nedávna byla vlastnost autocomplete všemi prohlížeči respektována a vývojáři této vlastnosti využívali k tomu, aby zabránili prohlížeči v uložení hesla zadaného uživatelem jednoduchým zápisem autocomplete=“off“, což se využívalo např. v aplikacích jako je internetové bankovnictví apod. V IE 11 je ale najednou všechno jinak.

Dle společnosti Microsoft se nejedná o bug, ale naopak o naprosto žádoucí chování nového IE 11, které by mělo přispět ke zvýšení bezpečnosti. MS předpokládá, že v okamžiku, kdy bude mít uživatel možnost si zadané heslo uložit, tak to udělá a s vědomím, že si ho nebude muset už pamatovat, si zvolí komplexní heslo. Obávám se, že většina uživatelů této možnosti využije spíš k tomu, aby si nemusela pamatovat ani své slabé heslo, a nelze očekávat, že si ho kvůli této funkci bude měnit.

Na druhou stranu je nutné připustit, že v okamžiku, kdy uživatel nebude muset heslo zadávat, tak ho nikdo nebude moci odpozorovat a také keylogger monitorující stisknuté klávesy nebude mít co zaznamenat. A v případě, že by bylo použito komplexní heslo a došlo by k úniku hashů z DB, tak jak se v minulosti stalo již mnohokrát, nebude je moci nikdo díky jejich komplexnosti a délce tak snadno prolomit.

Problém je, že v okamžiku, kdy se heslo nutné k přihlášení do webové aplikace nemusí zadávat, tak kdokoliv, kdo zná heslo do počítače uživatele, může bez znalosti daného hesla přistoupit i do dané aplikace. Jistě můžete namítnout, že toto se týká jen počítačů, které jsou sdíleny více osobami, a takových že není mnoho. A možná se nebudete ani mýlit, když prohlásíte, že na nich si uživatel heslo stejně neukládal.

S ukončením podpory této vlastnosti v IE 11 došlo k přenesené odpovědnosti na uživatele, a zdá se, že i tam, kde provozovatel webové aplikace nechtěl, aby si prohlížeč heslo zapamatoval, bude zcela na uživateli, zda upřednostní své pohodlí před bezpečností. Nebo má Microsoft pravdu a bezpečnost se tímto též zvyšuje?

Absenci podpory této vlastnosti autocomplete lze obejít tím, že zakážete přístup z IE 11, a uživateli doporučíte používat jiný prohlížeč, který vlastnost autocomplete podporuje, což je ale ve většině případů z obchodního hlediska neprůchozí. Další možností je změnit input type=“password“ na input type=“text“, pak se ale heslo bude zobrazovat na obrazovce, takže ani to není to pravé ořechové, anebo můžete zadávat heslo ve speciálním poli, kde bude vstup a výstup ošetřen pomocí JS.

Přispívá podle vás, pokud vezmete v úvahu četnost jednotlivých typů útoků, ukončení podpory vlastnosti autocomplete v IE 11 ke zvýšení bezpečnosti?

Nahrávání ... Nahrávání ...


Pokud vás tento příspěvek zaujal, sdílejte ho!
Share on FacebookShare on LinkedInTweet about this on TwitterShare on Google+Email this to someonePrint this page

Štítky:


K článku “Microsoft Internet Explorer 11 nepodporuje vlastnost autocomplete” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: