Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Remember password in browser overrulen

Pagina: 1
Acties:

Onderwerpen


Acties:
  • 0Henk 'm!

  • kattapult
  • Registratie: september 2005
  • Laatst online: 18-09 09:04
Ik ben een website aan het ontwikkelen welke ik nu zelf aan het testen ben. Ik loop hierbij tegen het volgende aan;

Als ik me als eindgebruiker zijnde afmeld, wordt ik netjes afgemeld. Omdat ik in de browser echter de optie ‘remember my password’ aan heb staan, worden mijn gebruikersnaam en wachtwoord weer standaard ingevuld en met een druk op de 'inlog' button ben ik weer ingelogd.

Gezien de gevoeligheid van data, zou ik echter graag willen dat eindgebruikers altijd hun username + ww moeten invullen, ongeacht de optie ‘remember my password’ in de browser.

Is het mogelijk dat ik mijn website dusdanig configureer, dat hij de browser setting soort van ‘overruled’? Een mooi voorbeeldje vind ik de ING bank .. daar moet ik te allen tijde mijn username + ww invullen.

Iemand hier ervaring mee?

Acties:
  • 0Henk 'm!

  • P.O. Box
  • Registratie: augustus 2005
  • Laatst online: 22:33
Als je nu bij de ING in de broncode kijkt... wat valt je dan op?

P.O. Box wijzigde deze reactie 07-07-2015 14:21 (39%)


Acties:
  • 0Henk 'm!

  • maarud
  • Registratie: mei 2005
  • Laatst online: 21:56
Al is dat natuurlijk weer te overrulen, dat doe ik ook bij sommige sites om tˇch te forceren dat hij username en password onthoud ;)

Acties:
  • 0Henk 'm!

  • NMe
  • Registratie: februari 2004
  • Laatst online: 00:56

NMe

Admin Devschuur«

Quia Ego Sic Dico.

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.


Acties:
  • 0Henk 'm!

  • jeroen3
  • Registratie: mei 2010
  • Laatst online: 22:53
quote:
kattapult schreef op dinsdag 07 juli 2015 @ 14:12:
Gezien de gevoeligheid van data...
Multifactor authentication?

jeroen3 wijzigde deze reactie 07-07-2015 14:34 (24%)


Acties:
  • 0Henk 'm!

  • leuk_he
  • Registratie: augustus 2000
  • Laatst online: 20:40

leuk_he

1. Controleer de kabel!

quote:
P.O. Box schreef op dinsdag 07 juli 2015 @ 14:20:
Als je nu bij de ING in de broncode kijkt... wat valt je dan op?
Hoewel je bedoeld "kijk vooral zelf in de broncode van die site"
code:
1
<input autofocus="autofocus" class=" firstfield" tabindex="1" name="aUkTqZAnVSmDFEbf4" id="aUkTqZAnVSmDFEbf4" size="25" maxlength="20" value="" type="text">

kirjgt het userid en het wachtwoord veld dus een dynamisch ID.

De echte oplossing is uiteraard via 2 factor authentication te werken. SMS ("Tan code")/ token etc etc.

Need more data. We want your specs. Ik ben ook maar dom. anders: forum, ff reggen, ff topic maken
En als je een oplossing hebt gevonden laat het ook ujb ff in dit topic horen.


Acties:
  • 0Henk 'm!

  • P.O. Box
  • Registratie: augustus 2005
  • Laatst online: 22:33
quote:
leuk_he schreef op dinsdag 07 juli 2015 @ 17:57:
[...]

Hoewel je bedoeld "kijk vooral zelf in de broncode van die site"
code:
1
<input autofocus="autofocus" class=" firstfield" tabindex="1" name="aUkTqZAnVSmDFEbf4" id="aUkTqZAnVSmDFEbf4" size="25" maxlength="20" value="" type="text">

kirjgt het userid en het wachtwoord veld dus een dynamisch ID.

De echte oplossing is uiteraard via 2 factor authentication te werken. SMS ("Tan code")/ token etc etc.
wat bedoel je met "Hoewel"??

  • maarud
  • Registratie: mei 2005
  • Laatst online: 21:56
quote:
leuk_he schreef op dinsdag 07 juli 2015 @ 17:57:
[...]

Hoewel je bedoeld "kijk vooral zelf in de broncode van die site"
code:
1
<input autofocus="autofocus" class=" firstfield" tabindex="1" name="aUkTqZAnVSmDFEbf4" id="aUkTqZAnVSmDFEbf4" size="25" maxlength="20" value="" type="text">

kirjgt het userid en het wachtwoord veld dus een dynamisch ID.
Vergeet de
HTML:
1
autocomplete="off"

niet, die zorgt er voor dat browsers niet je wachtwoord onthouden ;)

  • RobIII
  • Registratie: december 2001
  • Laatst online: 00:08

RobIII

DT Doktersteam / Moderator Devschuur«

^ Romeinse 3 ja!

quote:
maarud schreef op woensdag 08 juli 2015 @ 08:35:
[...]


Vergeet de
HTML:
1
autocomplete="off"

niet, die zorgt er voor dat browsers niet je wachtwoord onthouden ;)
Autocomplete != autofill volgens sommige vendors en dus kon je hier wel eens van een koude kermis thuis komen ;)

RobIII wijzigde deze reactie 08-07-2015 08:49 (21%)

Mistakes happen. It's the mistakes inside a For Loop that are a real problem - Scott Hanselman.

Over mij


  • maarud
  • Registratie: mei 2005
  • Laatst online: 21:56
Klopt, je kan er nooit 100% op vertrouwen, daarom zei ik in mijn eerste post dat ik het inschakelen daarvan forceer :) Gelukkig zijn er nog een rits andere zaken die je er bij kan implementeren waaronder het dynamische input-veld ;)

  • supersnathan94
  • Registratie: juli 2010
  • Laatst online: 19-09 21:33
Mag ik vragen aan je wat er zo gevoelig is aan de data, dat je je users dwingt om het wachtwoord te onthouden? Hier wordt het namelijk niet veiliger van. Users gaan nu niet even een passeord kiezen wat echt veilig is, maar wat makkelijk te onthouden. Is dat iets wat je wilt? Daar zijn password managers juist voor. Dat je snel en eenvoudig lastige en veilige wachtwoorden kan gebruiken.

Dus hoewel jij denkt dat dit veilig is, is het alles behalve dat. Wat je nu tegengaat is misbruik door mensen met fysieke toegang tot het systeem terwijl je de deur voor mensen van buitenaf letterlijk open gooit. Wat de ING doet is in combinatie met een hele rits andere zaken waardoor het wel veilig is voor alle overige dingen. Denk er dus goed over na voordat je "zomaar" dingen implementeerd.

  • _Thanatos_
  • Registratie: januari 2001
  • Laatst online: 21:22

_Thanatos_

Ja, en kaal

quote:
Gezien de gevoeligheid van data, zou ik echter graag willen dat eindgebruikers altijd hun username + ww moeten invullen, ongeacht de optie ‘remember my password’ in de browser.
Dat moeten gebruikers voor zichzelf bepalen. Het is niet aan jou om browsergedrag te slopen en het leven van je gebruikers moelijker te maken.

Het minst erge dat je kunt doen is een derde veld toevoegen.
quote:
Users gaan nu niet even een passeord kiezen wat echt veilig is, maar wat makkelijk te onthouden.
En dat. Want vertel es, wat is veiliger: die post-it van een gemiddelde gebruiker, of de password vault van een gemiddelde browser?

_Thanatos_ wijzigde deze reactie 14-07-2015 02:03 (22%)

watashi wa nisenjuusannen juugatsu ni nihon e ikimashou! yay!


  • Barryvdh
  • Registratie: juni 2003
  • Laatst online: 20-09 16:44
Wat ook een 'hack' is om het te fixen; een verborgen password input toevoegen.
Chrome vult namelijk standaard automatisch het eerste wachtwoord in.
HTML:
1
<input type="password" style="display:none">

(Al gebruik ik het overigens voor admin schermen, bewerken van andere wachtwoorden etc. Die Chrome dus ook vrolijk aanvult..)
Pagina: 1


Apple iPhone X Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*