Програмысли

Почему autocomplete должен быть off для паролей

25 Сентября 2013 Безопасность
5 0

Сделал недавно новый сайт с нуля и у меня его протестировали на безопасность очень крутая компания. В общем пришел отчет, в котором показана критическая уязвимость - 

In any form field that is expecting sensitive data, set the 'autocomplete' attribute to 'off.'

For example, a simple password field may look like:

<input type="password" name="password" value="" />

Теоретически, я с этим согласен, но не понимаю, зачем ставить autocomplete=off для полей типа password? На сколько я помню, браузеры никогда не используют автокомплитеры для полей с паролями. Или кто-то использует? 

Если не используют, то тогда не вижу, что критического в этом. Это вторая критическая уязвимость, которую они нашли. Первая была в том, что сервер возвращает версию .NET на которой крутится сайт и это вроде бы хакеру что-то скажет. Ну вообще-то по URL уже сразу видно, что сайт сделан на MVC, а по коду видно, что это как минимум нужно .NET 3.5. Да и хакеры уже давно ленивые и используют сканеры, так что будут тестировать уязвимости всех версий .NET и Windows. Так что опять же не вижу ничего критического. В крайнем случае можно сказать High уровень если хочется показать что это круто. 

Понравилось? Кликни Лайк, чтобы я знал, какой контент более интересен читателям. Заметку пока еще никто не лайкал и ты можешь быть первым

Комментарии

=D

26 Сентября 2013

Смахивает на поставленную задачу найти критические уязвимости) и пофиг если их нет, не нашли значит плохо работали =D по моему такие финты из такого подхода выходят.

Михаил Фленов

26 Сентября 2013

Это очень известная компания, которая тестирует сайты на безопасность. Мне сложно себе представить, что они делают это для крутости.

=D

26 Сентября 2013

Михаил, а мне нет. Опыт работы с крупными и известными компаниями подсказывает что все такие веяния начинаются как раз с них. НО не централизовано. Это не политика компании в большинстве случаев а политика конкретных отделов и даже конкретных начальников. Такие начи бывают везде. Хотя тут вот коллеги подсказывают что они знают о какой компании речь идет в заметке) Слишком &quot;заметные&quot; уязвимости) И у них это почти слоган компании: обязательно должно быть найдено не мене двух-трёх крит уязвимостей)) Вам ещё десяток придирок мелких не приписали кстати?

Михаил Фленов

26 Сентября 2013

Есть еще три не критических придирки, но я их даже не читал, что в них написано, потому что исправлять точно не собираюсь. Если критические такие, то не критические, вообще не стоят моего времени.

Overdrive

27 Сентября 2013

Разве это критическая уязвиомсть?
Я фиксил на работе баг с автокоплитом для полей которые не допускают повторного ввода одного и того же значения. Это логично, а для пароля нет. Ведь автокомплит не работает для этого типа поля.

Добавить Комментарий
Добавить комментарий

У меня есть предложение к Microsoft (хотя они наверно его не увидят) - позволить возвращать функции, которые возвращают void. Допустим, что у меня есть две функции, которые ничего не возвращают:

public void boo() {
	return;
}

public void LogSomething() {
	return;
}
Хочу возвращать void функции

Канадский производитель смартфонов, который шиковал на рынке в то же время, что и  Nokia, тонет таким же способом и теми же темпами. Компания выставлена на продажу и сделка находится на рассмотрении потенциального инвестора и скорей всего состоится. 

Blackberry в отличии от Nokia не стала производить  Windows Phone смартфоны, хотя говорят, что подобные планы были. Правильно сделали, что не стали, потому что их собственная ОС не хуже, а еще один  windows phone производитель никому не нужен. Это утопило бы компанию еще быстрее. 

Новому инвестору нужно обратить внимание на  андроид. Эта ОС обошла конкурентов по возможностям и отстает по простоте и на мой вкус в дизайне.

Blackberry тонет как и Nokia

Компания SquareTrade, которая специализируется на предоставлении планов по защите мобильных устройств считает, что iPhone нового поколения не такие прочные, уж как предыдущего. На сколько. Понял, 5S по конструкции практически не отличается от 5-ки, поэтому не совсем понимаю за счет чего сократилась надежность. Пластик 5C может быть слабее. 

Но не смотря на это, iPhone все же лучшие многих конкурентов. Что меня удивило, так это то, что лузером оказался Samsung Galaxy S4, который умирает при падении с высоты 1,5 метра. 

Лучше всех по надежности пока  Moto X, дизайн которого был сделан уже после покупать  Google компании Motorola.

Ударопрочность телефонов

Сегодня на сайте Apple повилась новость о том, что за первые три дня компания продала 9 миллионов iPhone нового поколения всего за три дня. По три миллиона в день. И вроде бы как 200 миллионов устройств уже обновились до iOS 7, причем абсолютно бесплатно. Вот она поддержка старых устройств, что я уважаю и обожаю в продукции Apple. Помимо качественного и надежного корпуса, удобной ОС и мощного железа мой телефон бесплатно обновляется каждый год и я получаю большинство новых фишек.

А что Microsoft? А они конечно же берут самое лучшее от Apple - пытаются скопировать их бизнес, но при это не могут скопировать бизнес модель. Для Windows Phone 7 больше не будет обновлений Skype. Поздравляю товарищи! Все, кто купил себе Windows Phone 7 (к таким сумасшедшим отношусь и я, потому что выкинул целых 300 баксов) могут засунуть себе эти телефону куда угодно, но новых фишек для нашего железа не будет. Ну и ладно, у меня этот телефон все равно как радио используется. 

Apple продает 9 миллионов телефонов за три дня

Еще что-нибудь

Хотите найти еще что-то интересное почитать? Можно попробовать отфильтровать заметки на блоге по категориям.

О блоге

Программист, автор нескольких книг серии глазами хакера и просто блогер. Интересуюсь безопасностью, хотя хакером себя не считаю

Обратная связь

Без проблем вступаю в неразборчивые разговоры по e-mail. Стараюсь отвечать на письма всех читателей вне зависимости от страны проживания, вероисповедания, на русском или английском языке.

Пишите мне

Copyright © 2024 Михаил Флёнов. Тираж 1 штука. Отпечатано на ноутбуке. А за права отвечаю, или постараюсь.

А здесь еще и копирайт поставлю: Professional Web Development.