Toon posts:

Remember password in browser overrulen

Pagina: 1
Acties:

Onderwerpen

Html

dinsdag 7 juli 2015 14:12

Acties:
  • 0 Henk 'm!
  • kattapult
  • Registratie: September 2005
  • Laatst online: 01-11-2021

kattapult

Topicstarter
Ik ben een website aan het ontwikkelen welke ik nu zelf aan het testen ben. Ik loop hierbij tegen het volgende aan;

Als ik me als eindgebruiker zijnde afmeld, wordt ik netjes afgemeld. Omdat ik in de browser echter de optie ‘remember my password’ aan heb staan, worden mijn gebruikersnaam en wachtwoord weer standaard ingevuld en met een druk op de 'inlog' button ben ik weer ingelogd.

Gezien de gevoeligheid van data, zou ik echter graag willen dat eindgebruikers altijd hun username + ww moeten invullen, ongeacht de optie ‘remember my password’ in de browser.

Is het mogelijk dat ik mijn website dusdanig configureer, dat hij de browser setting soort van ‘overruled’? Een mooi voorbeeldje vind ik de ING bank .. daar moet ik te allen tijde mijn username + ww invullen.

Iemand hier ervaring mee?

dinsdag 7 juli 2015 14:20

Acties:
  • 0 Henk 'm!
  • P.O. Box
  • Registratie: Augustus 2005
  • Niet online

P.O. Box

Als je nu bij de ING in de broncode kijkt... wat valt je dan op?

[ Voor 39% gewijzigd door P.O. Box op 07-07-2015 14:21 ]

dinsdag 7 juli 2015 14:23

Acties:
  • 0 Henk 'm!
  • maarud
  • Registratie: Mei 2005
  • Laatst online: 17:23

maarud

Al is dat natuurlijk weer te overrulen, dat doe ik ook bij sommige sites om tóch te forceren dat hij username en password onthoud ;)

dinsdag 7 juli 2015 14:26

Acties:
  • 0 Henk 'm!
  • NMe
  • Registratie: Februari 2004
  • Laatst online: 09-09 13:58

NMe

Quia Ego Sic Dico.

[google=tell browser to not remember user account] ;)

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.

dinsdag 7 juli 2015 14:34

Acties:
  • 0 Henk 'm!
  • jeroen3
  • Registratie: Mei 2010
  • Laatst online: 19:18

jeroen3

kattapult schreef op dinsdag 07 juli 2015 @ 14:12:
Gezien de gevoeligheid van data...
Multifactor authentication?

[ Voor 24% gewijzigd door jeroen3 op 07-07-2015 14:34 ]

dinsdag 7 juli 2015 17:57

Acties:
  • 0 Henk 'm!
  • leuk_he
  • Registratie: Augustus 2000
  • Laatst online: 15-07 15:35

leuk_he

1. Controleer de kabel!

P.O. Box schreef op dinsdag 07 juli 2015 @ 14:20:
Als je nu bij de ING in de broncode kijkt... wat valt je dan op?
Hoewel je bedoeld "kijk vooral zelf in de broncode van die site"

code:
1

<input autofocus="autofocus" class=" firstfield" tabindex="1" name="aUkTqZAnVSmDFEbf4" id="aUkTqZAnVSmDFEbf4" size="25" maxlength="20" value="" type="text">


kirjgt het userid en het wachtwoord veld dus een dynamisch ID.

De echte oplossing is uiteraard via 2 factor authentication te werken. SMS ("Tan code")/ token etc etc.

Need more data. We want your specs. Ik ben ook maar dom. anders: forum, ff reggen, ff topic maken
En als je een oplossing hebt gevonden laat het ook ujb ff in dit topic horen.

dinsdag 7 juli 2015 18:06

Acties:
  • 0 Henk 'm!
  • P.O. Box
  • Registratie: Augustus 2005
  • Niet online

P.O. Box

leuk_he schreef op dinsdag 07 juli 2015 @ 17:57:
[...]

Hoewel je bedoeld "kijk vooral zelf in de broncode van die site"

code:
1

<input autofocus="autofocus" class=" firstfield" tabindex="1" name="aUkTqZAnVSmDFEbf4" id="aUkTqZAnVSmDFEbf4" size="25" maxlength="20" value="" type="text">


kirjgt het userid en het wachtwoord veld dus een dynamisch ID.

De echte oplossing is uiteraard via 2 factor authentication te werken. SMS ("Tan code")/ token etc etc.
wat bedoel je met "Hoewel"??

woensdag 8 juli 2015 08:35

Acties:
  • 0 Henk 'm!
  • maarud
  • Registratie: Mei 2005
  • Laatst online: 17:23

maarud

leuk_he schreef op dinsdag 07 juli 2015 @ 17:57:
[...]

Hoewel je bedoeld "kijk vooral zelf in de broncode van die site"

code:
1

<input autofocus="autofocus" class=" firstfield" tabindex="1" name="aUkTqZAnVSmDFEbf4" id="aUkTqZAnVSmDFEbf4" size="25" maxlength="20" value="" type="text">


kirjgt het userid en het wachtwoord veld dus een dynamisch ID.
Vergeet de
HTML:
1

autocomplete="off"

niet, die zorgt er voor dat browsers niet je wachtwoord onthouden ;)

woensdag 8 juli 2015 08:45

Acties:
  • 0 Henk 'm!
  • RobIII
  • Registratie: December 2001
  • Niet online

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

(overleden)
maarud schreef op woensdag 08 juli 2015 @ 08:35:
[...]


Vergeet de
HTML:
1

autocomplete="off"

niet, die zorgt er voor dat browsers niet je wachtwoord onthouden ;)
Autocomplete != autofill volgens sommige vendors en dus kon je hier wel eens van een koude kermis thuis komen ;)

[ Voor 21% gewijzigd door RobIII op 08-07-2015 08:49 ]

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij

woensdag 8 juli 2015 08:51

Acties:
  • 0 Henk 'm!
  • maarud
  • Registratie: Mei 2005
  • Laatst online: 17:23

maarud

Klopt, je kan er nooit 100% op vertrouwen, daarom zei ik in mijn eerste post dat ik het inschakelen daarvan forceer :) Gelukkig zijn er nog een rits andere zaken die je er bij kan implementeren waaronder het dynamische input-veld ;)

vrijdag 10 juli 2015 11:31

Acties:
  • 0 Henk 'm!
  • supersnathan94
  • Registratie: Juli 2010
  • Laatst online: 16:35

supersnathan94

Mag ik vragen aan je wat er zo gevoelig is aan de data, dat je je users dwingt om het wachtwoord te onthouden? Hier wordt het namelijk niet veiliger van. Users gaan nu niet even een passeord kiezen wat echt veilig is, maar wat makkelijk te onthouden. Is dat iets wat je wilt? Daar zijn password managers juist voor. Dat je snel en eenvoudig lastige en veilige wachtwoorden kan gebruiken.

Dus hoewel jij denkt dat dit veilig is, is het alles behalve dat. Wat je nu tegengaat is misbruik door mensen met fysieke toegang tot het systeem terwijl je de deur voor mensen van buitenaf letterlijk open gooit. Wat de ING doet is in combinatie met een hele rits andere zaken waardoor het wel veilig is voor alle overige dingen. Denk er dus goed over na voordat je "zomaar" dingen implementeerd.

dinsdag 14 juli 2015 02:01

Acties:
  • 0 Henk 'm!
  • _Thanatos_
  • Registratie: Januari 2001
  • Laatst online: 05-09 14:39

_Thanatos_

Ja, en kaal

Gezien de gevoeligheid van data, zou ik echter graag willen dat eindgebruikers altijd hun username + ww moeten invullen, ongeacht de optie ‘remember my password’ in de browser.
Dat moeten gebruikers voor zichzelf bepalen. Het is niet aan jou om browsergedrag te slopen en het leven van je gebruikers moelijker te maken.

Het minst erge dat je kunt doen is een derde veld toevoegen.
Users gaan nu niet even een passeord kiezen wat echt veilig is, maar wat makkelijk te onthouden.
En dat. Want vertel es, wat is veiliger: die post-it van een gemiddelde gebruiker, of de password vault van een gemiddelde browser?

[ Voor 22% gewijzigd door _Thanatos_ op 14-07-2015 02:03 ]

日本!🎌

dinsdag 14 juli 2015 09:30

Acties:
  • 0 Henk 'm!
  • Barryvdh
  • Registratie: Juni 2003
  • Laatst online: 18:40

Barryvdh

Wat ook een 'hack' is om het te fixen; een verborgen password input toevoegen.
Chrome vult namelijk standaard automatisch het eerste wachtwoord in.
HTML:
1

<input type="password" style="display:none">


(Al gebruik ik het overigens voor admin schermen, bewerken van andere wachtwoorden etc. Die Chrome dus ook vrolijk aanvult..)
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq