Следует ли использовать autocomplete = "off" для всех чувствительных полей?

Ответ 1

Я ненавижу сайты, которые это делают. Это решение клиента, если они хотят сохранять пароли или нет. Особенно оскорбительным является то, что этот атрибут нарушает встроенную поддержку KeyChain OS X. Поэтому, несмотря на то, что пользователь сохранил свой пароль в защищенном файле и разрешил себе и приложению использовать его, веб-сайт по-прежнему считает, что он знает лучше. Просто раздражает.

Ответ 2

Приложение электронной коммерции, над которым я работал несколько лет назад, прошел аудит безопасности, и одна из их рекомендаций заключалась в том, чтобы отключить автозаполнение для чувствительных полей.

Это не было строгим требованием, но, вероятно, это будет в какой-то момент, учитывая, как стандарты электронной коммерции в наши дни.

Ответ 3

Если это не очень безопасный сайт, я бы хотел оставить автозаполнение. Если это поле пароля, браузер предложит пользователю, хочет ли он сохранить информацию, и в этот момент пользователь может принять собственное решение.

Ответ 4

Мне очень не нравится, когда я начинаю вводить номер моей кредитной карты и перечисляет все цифры, которые я использовал в прошлом, а также 3-значный код. Не круто IMO.

Ответ 5

Это зависит от того, что вы подразумеваете под электронной торговлей. В интернет-банке вы должны отключить автозаполнение. В онлайн-магазинах - не обязательно.

Следует помнить, что автозаполнение не заставляет запоминать пароли. Пользователь должен согласиться хранить свои учетные данные, поэтому они всегда могут отклонить.

Ответ 6

Я согласен. По привычке я оставляю автозаполнение. Тем не менее, был проект для ВВС, над которым я работал, в котором требовалось разбор автозаполнения. Действительно зависит от ваших требований.

Ответ 7

На самом деле я не думаю, что когда-либо видел "автозаполнение" в поле пароля.

Автозаполнение (когда вы начинаете вводить что-то в поле формы, а браузер отображает список предложений), и просить браузер помнить, что ваше имя пользователя и пароль - это две разные вещи.

Если вы говорите о функции браузера, которая запоминает ваше имя пользователя и пароль, я не знаю, как вы можете отключить это на машине пользователя.

Ответ 8

Я использую менеджеров паролей и форм, таких как 1Password и RoboForm, специально для того, чтобы обойти сайты, которые отключили автозаполнение; эти дополнения обычно игнорируют предпочтения веб-сайта в пользу их собственной более сложной логики.

Ответ 9

Большинство сайтов электронной торговли отключает автозаполнение полей кредитных карт. Они сохраняют и повторно отображают информацию, когда аутентифицированный пользователь возвращается, а затем требуют, чтобы пользователь повторно вводил CVV. Таким образом, сайт получает пользователей для регистрации (в противном случае им придется повторно вводить полную информацию о CC каждый раз), сохраняет информацию CC в масках при последующих посещениях и только обременяет пользователя вводом трехзначного числа. (Это также небольшой способ построения безопасной практики вокруг номеров CC, поэтому пользователи, надеюсь, будут более защищать их.)

Имейте в виду, что включение/отключение автозаполнения только ограничивает конфиденциальность данных для общих сред, то есть более одного человека обращается к тому же браузеру. Например, если ваше приложение предназначено для классной комнаты, тогда было бы разумнее полностью отключить автозаполнение, так как приложение будет повторно использоваться в одном браузере многими разными людьми.

Считайте это функцией удобства (в), а не функцией безопасности. Вы не можете защитить пользователей от каждой немой ошибки при совместном использовании браузеров (например, не выходить из системы), и, чтобы быть более приятными для немых пользователей, он не будет иметь никакого отношения к атакам на стороне клиента, например кейлоггерам. Если общая среда небезопасна, ваше приложение не может сделать много для защиты своих пользователей.