オートコンプリートのパスワードフィールド

low Web App Scanning プラグイン ID 98081

Language:

概要

説明

典型的なフォームベースの Web アプリケーションでは、開発者が HTML フォーム内で「autocomplete」を許可してページの使いやすさを向上させることが一般的です。「autocomplete」を有効 (デフォルト) にすると、ブラウザは以前に入力されたフォーム値をキャッシュできます。

このため、正当な目的のために、フォームに複数回入力するときにユーザーが同じデータをすばやく再入力できるようになります。

ユーザー名とパスワードのどちらかまたは両方のフィールドで「autocomplete」が有効になっていると、被害者のコンピューターにアクセスできるサイバー犯罪者が、影響を受けるページにアクセスする際に、被害者の認証情報を自動的に入力させる可能性があります。

スキャナーは、影響を受けるページに「autocomplete」を無効にしていないパスワードフィールドを含むフォームが含まれていることを検出しました。

ソリューション

「autocomplete」値は、2 つの異なる場所で構成できます。
最初の最も安全な場所は、「<form>」HTML の「autocomplete」属性を無効にすることです。こうすると、そのフォーム内のすべての入力に対して「autocomplete」が無効になります。フォームタグ内の「autocomplete」を無効にする例は、「<form autocomplete=off>」です。
2 つ目のやや望ましくないオプションは、特定の「<input>」HTMLタグの「autocomplete」属性を無効にすることです。これはセキュリティの観点からはあまり望ましくない解決策ですが、フォームのサイズによっては、使いやすさの理由から推奨される方法です。パスワード入力タグ内の「autocomplete」属性を無効にする例は、「<input type=password autocomplete=off>」です。