それマグで!

知識はカップより、マグでゆっくり頂きます。 takuya_1stのブログ

習慣に早くから配慮した者は、 おそらく人生の実りも大きい。
トップ > いまさながら、autocomplete=offについて言及

いまさながら、autocomplete=offについて言及

autocomplet=off の代わりにContentEditableを使え。←ん?

おまえは何を言ってるのだ。

IE11 では “autocomplete=off” が無視される場合がある | Hebikuzure's Tech Memo

どうしてもブラウザーにパスワードの記憶をさせたくない場合は、input type="password” フィールドを利用せず、input type="text" など他の種類のフィールドや、contentEditable 属性を true にした要素にパスワードを入力させるようにします。ただしその場合は入力値のマスクはされないので、自力で (CSS や JavaScript などを利用して) 同等の動作をさせる必要があるでしょう。

まとめると、input type=password はScriptから丸見えなんだから、contentEditable で入力をマスクしたってどうせ丸見えなんだし問題なくね?ってことらしい。

input type =password の上に透明なフォームを載せると・・・

<input type=text に透明なフォームを載せて、マスクしろって。あの、それ。。。偽のフォームをかぶせてパスワードを盗むスニッフィングと変わらないんですけど。

こんなことを書いちゃうのセキュリティ意識の低い人なんですかね本当にわかりません・・・・

off にすればいいってもんじゃない・・

そこまでしてOffにすればいいってもんじゃない・・

パスワードを複雑にするのが難しい

たとえばパスワードを複雑にしろとか色々言うんですけど。

autocomplete=offで複雑にしろっていうの?無茶じゃね。ユーザの記憶に頼るのは無理でしょ?

ユーザーがあてにならない以上、サーバー側でできることがautocomplete=off ですか?

なので、OAuthを使おう

OAuthを使うことが現状では一番の解決策なのです。

Ajaxを使えば済むこともある

webkit なら、form を submit しない限り、学習しないので

form タグを使わずに input だけおいておけばいいのではないか。

$.ajax("/api/login" , { id: $("#id").val() , pw: $("[type=password]").val() ..... } )
.done(  function(){ window.location.reload() } )

最近良く見かける。jQuery でたった数行で書ける。

覚えさせたくない??

ユーザのブラウザに覚えさせたくない!ってのは仕様書のエゴだと思うけど。

ブラウザに記憶させないってのはユーザ側で対応すること、って開き直れないのはかわいそう。。

そもそもログインが必要なのか。

たとえばWEB通帳。こんなもの、閲覧用のワンタイムURLをSMSで送ったらいいじゃない。

EvernoteDropboxに転送すればセキュアに受け渡せるよ。

パスワードの限界

パスワードには「限界」が来ている。パスワードに日本語の文字列やUTF-8文字が使えたらもっとマシなんだけど、パスワードにはアルファベットしか使えない。

OAuthの仕組みを提供してない会社は危機感を持った方がいい

パスワードの定期的変更を

とか言ってるサイトは、OAuthを会社として持ってないことに危機感を持ったほうがいいんじゃないか。

多数のユーザーを抱える割にAuthを提供できてない会社は、IDプロバイダになれずにIDコンシューマになるしかない。なので、パスワード以外の方法はもう普及しないだろうし、OAuth的な認証は今後の主流になるろう。銀行は、いずれIDを自社で管理することを諦めるようになるだろう・・ユーザーの動線など付帯情報を大量に失うという危機がそこにある。

たとえば、銀行だと、一度のログインで入金、送金、照会のRead/Writeをすべて一つのIDでやってるので問題があるんじゃないか。と思うんですね。

ブラウザや、スマホにOAuth で権限を与えるような仕様にならない限り・・・

証明書???

クライアント認証なんて証明書をユーザーに入れさせる時点でもうね・・・

そのうちOauthのIDプロバイダに通信内容ハッシュを毎回引き渡して改ざんチェックするようになるだろう

銀行とかユーザー多い割にOAuthプロバイダになれなかったんだ。

もう、au ID や Docomo ID の OAuthなどの認証連携に頼っちゃえばいいんだよね。あいつら。

公開情報で認証・・・

もっといえば、ログインIDに「メアド」や「口座番号」といった公開情報を使ってることも問題

ログインキーを公開情報にするってのも芸がないよね

ログインIDは日本語でもいいじゃん

ID日本語ってそれなりに、攻撃確率を減らせると思うんですけどねぇ