Microsoft Internet Explorer 11 nepodporuje vlastnost autocomplete

Internet Explorer 11, který je k dispozici pro operační systém MS Windows 7 a vyšší, nepodporuje vlastnost autocomplete=“off“ a to u pole input type=“password“.

Prohlížeč se uživatele samozřejmě zeptá, zda si přeje heslo uložit nebo ne, ovšem pokud uživatel klikne na tlačítko ANO, tak se heslo uloží. Uživatel též může v dialogu zaškrtnout, že už nechce, aby mu prohlížeč zapamatování hesel nabízel a kliknout na tlačítko NE. V tomto případě se heslo neuloží a systém již nebude uživateli možnost uložení hesla nabízet.

Toto nastavení lze kdykoliv změnit a hesla, která se ukládají do systému, je možné spravovat přes Správce pověření (Credential Manager), jenž je dostupný přes Ovládací panely (Control Panel) a volbu Webová pověření (Web credentials), kde se dají hesla uložená pro jednotlivé weby zobrazit nebo smazat a hlavně zde lze nastavit, zda se mají nově zadaná hesla nadále ukládat a zda má systém jejich zapamatování uživateli nabízet.

Do nedávna byla vlastnost autocomplete všemi prohlížeči respektována a vývojáři této vlastnosti využívali k tomu, aby zabránili prohlížeči v uložení hesla zadaného uživatelem jednoduchým zápisem autocomplete=“off“, což se využívalo např. v aplikacích jako je internetové bankovnictví apod. V IE 11 je ale najednou všechno jinak.

Dle společnosti Microsoft se nejedná o bug, ale naopak o naprosto žádoucí chování nového IE 11, které by mělo přispět ke zvýšení bezpečnosti. MS předpokládá, že v okamžiku, kdy bude mít uživatel možnost si zadané heslo uložit, tak to udělá a s vědomím, že si ho nebude muset už pamatovat, si zvolí komplexní heslo. Obávám se, že většina uživatelů této možnosti využije spíš k tomu, aby si nemusela pamatovat ani své slabé heslo, a nelze očekávat, že si ho kvůli této funkci bude měnit.

Na druhou stranu je nutné připustit, že v okamžiku, kdy uživatel nebude muset heslo zadávat, tak ho nikdo nebude moci odpozorovat a také keylogger monitorující stisknuté klávesy nebude mít co zaznamenat. A v případě, že by bylo použito komplexní heslo a došlo by k úniku hashů z DB, tak jak se v minulosti stalo již mnohokrát, nebude je moci nikdo díky jejich komplexnosti a délce tak snadno prolomit.

Problém je, že v okamžiku, kdy se heslo nutné k přihlášení do webové aplikace nemusí zadávat, tak kdokoliv, kdo zná heslo do počítače uživatele, může bez znalosti daného hesla přistoupit i do dané aplikace. Jistě můžete namítnout, že toto se týká jen počítačů, které jsou sdíleny více osobami, a takových že není mnoho. A možná se nebudete ani mýlit, když prohlásíte, že na nich si uživatel heslo stejně neukládal.

S ukončením podpory této vlastnosti v IE 11 došlo k přenesené odpovědnosti na uživatele, a zdá se, že i tam, kde provozovatel webové aplikace nechtěl, aby si prohlížeč heslo zapamatoval, bude zcela na uživateli, zda upřednostní své pohodlí před bezpečností. Nebo má Microsoft pravdu a bezpečnost se tímto též zvyšuje?

Absenci podpory této vlastnosti autocomplete lze obejít tím, že zakážete přístup z IE 11, a uživateli doporučíte používat jiný prohlížeč, který vlastnost autocomplete podporuje, což je ale ve většině případů z obchodního hlediska neprůchozí. Další možností je změnit input type=“password“ na input type=“text“, pak se ale heslo bude zobrazovat na obrazovce, takže ani to není to pravé ořechové, anebo můžete zadávat heslo ve speciálním poli, kde bude vstup a výstup ošetřen pomocí JS.

Přispívá podle vás, pokud vezmete v úvahu četnost jednotlivých typů útoků, ukončení podpory vlastnosti autocomplete v IE 11 ke zvýšení bezpečnosti?

Nahrávání ... Nahrávání ...
Pokud vás tento příspěvek zaujal, sdílejte ho!
Email this to someone
email
Share on LinkedIn
Linkedin
Tweet about this on Twitter
Twitter
Share on Facebook
Facebook
Print this page
Print

Štítky:


K článku “Microsoft Internet Explorer 11 nepodporuje vlastnost autocomplete” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: