Sicurezza modulo di registrazione automatica
Author: Fabio B.
Visited 1105,
Followers 2,
Shared 0
Il problema di sicurezza è triplice:
- Nella pagina di registrazione automatica, se uno ha memorizzato nel browser i dati di accesso, l'autocompilazione mostra la password non criptata
- Nel caso sopra, cliccando semplicemente su accedi, il login non funge e...
- ...si aprono le due tooltip di errore; nella tooltip di richiesta della pwd, invece di 'password è obbligatorio' viene scritta la password vera e propria seguita da è obbligatorio; nel caso di un computer utilizzato da più persone il problema è evidente.
Posted on the
Aggiungo che , solo in registrazione automatica, non viene fatta alcuna distinzione tra maiuscole e minuscole.
Buongiorno Fabio,
prova a pubblicare un sito e descrivermi i passi e i dati che fai così da poter verificare.
Ti informo però che le passoword vengono gestite dal browser, prova a resettare la cache e riprovare.
In caso di pc usato da più utenti se per caso si memorizza la password nel browser si potrà sempre accedere, dipende dall'accortezza dell'utilizzatore non lasciare dati sensibili nella cache.
@ Antonio, ci hanno già segnalato questa cosa che è stata inviata al nostro team di sviluppo per essere valutata.
Grazie.
Author
Ciao Riccardo,eccoti un esempio: http://studioveterinarioassociato.sitocentrale.org/
Lo so chela password viene memorizzata nella cache del browser e che la cosa dipende dall'accortezza dell'utente e sono perfettamente d'accordo con te, ma prevedendo la possibile mancanza di accortezza credo che sarebbe opportuno che la compilezione automatica del form fatta dal browser mostrasse al massimo la pwd in forma criptata e non leggibile (neanche nella tooltip che si apre quando fallisce l'accesso se si pigia Accedi in fondo al form).
Buongiorno Fabio,
memorizzando la password nel browser se si riaccede al sito questa viene mostrata criptata, prova a verificare se non hai particolari plugin o impostazioni del browser per le password.
Author
Buongiorno Riccardo. No, non ho particolari impostazioni per i browser, ho quelle di default.
Ti elenco i vari comportamenti:
FF: nella widget di login posta nel menù, mostra il nome utente leggibile e la pwd criptata; la pagina di registrazione automatica invece precompila in modo leggibile entrambi i campi sia nel form Utente Già Registrato sia in quello Registra un nuovo account. Inoltre cliccando semplicemente sul bottone accedi, l'accesso non va a buon fine ma compaiono le due tooltips che dicono "Username è obbligatorio" e "PWD è obbligatorio", dove PWD è propriamente la password dell'utente.
Chrome: esattamente tutto come sopra.
IE10: i campi dei form non vengono precompilati sia nella widget che nella pagina di registrazione automatica. Quando si digita la prima lettera del nome utente appare il suggerimento del nome utente; se si accetta il suggerimento viene compilato in automatico anche il campo password che rimane criptata. Lo stesso identico comportamento ha il form Utente già registrato nella pagina di registrazione automatica. Se si pigia il bottone Accedi, tutto funge perfettamente ed il login ha successo.
Author
http://studioveterinarioassociato.sitocentrale.org/imlogin.php?loginstatus=-3
Author
Prova a registrarti un account per accedere alla pagina Sala Operatoria (che è riservata).
Buongiorno Fabio,
ho testato ed effettivamente la password viene visualizzata in chiaro.
Ho inviato la tua segnalazione al nostro team di sviluppo così da poterla analizzare.
Grazie per la segnalazione.