Textfeld - Sicherheit bei Login

[Discman]

Hallo erstmal,

ich kann nicht genau sagen in welche Programmiersprache dieses Problem fällt,
aber da es sich um ein Textfeld handelt bin ich im HTML-Bereich sicherlich nicht
falsch.

Wie jedem wahrscheinlich schon aufgefallen ist kann man mittels der History vom
Internet Explorer schneller auf seine Login Daten zu Foren usw zugreifen.
zB klickt man in ein Textfeld wo man den Nickname eingeben soll und unterhalb
vom Textfeld stehen jede Menge Namen die man auf diversen Seiten angegeben
hat. Klickt man auf einen dieser Namen so kriegt man auch gleichzeitig das
dazugehörige Passwort.

Wie kann man das übergehen, dass KEINE Auswahlmöglichkeiten bestehen. Auf
manchen Seiten hat man auch nur Zugang mit nur einer ID oder was auch immer.
Also nur ein Textfeld, wenn nun jemand bei einem öffentlichen Computer auf
irgendeine Seite schaut und dort seine Login Informationen oder nur die ID
eingibt könnte der nächste so leicht Zugang zu diesen Daten bekommen. Ich
denke mal Banken verwenden diese Sicherheitsmöglichkeit beim NetBanking.


Vielleicht kennt sich einer von euch damit aus. Ich glaube ASP und Cold Fusion
bieten Möglichkeiten den IE daran zu hindern diese Dinge in die History
aufzunehmen.

lg disc

 

[aquasonic]

Und wieso schreibst du es dann ins HTML Forum ;-)

PS: HTML ist keine Programmiersprache...

 

[Discman]

hab ich auch nicht gesagt....ich hab gesagt das ich sicherlich nicht Falsch liege da es sich um Textfelder handelt.

Wäre nett, wenn mir da irgendjemand helfen könnte, oder wenigstens keine Gegenfrage stellt, aber danke das du so aufmerksam bist.

lg disc

 

[Sven Mintel]

Also dass beim Klicken auf einen der Namen auch das Passwort ausgefüllt wird, hab ich noch nie gesehen... hast du da mal nen Beispiel?

Was die Auswahlliste bei <input>'s im IE betriftt, die vermeidest du mit

<input autocomplete="off">

... falls es das war, was du meintest.

Auf öffentlichen Rechnern sollte der SysAdmin im IE prinzipiell das Autovervollständigen von Formularen und Adresszeile deaktivieren.

 

[Discman]

Naja ich möchte sicher sein, dass dieses Problem wirklich nicht Auftritt egal auf welchem Rechner der Besucher surft.

Also ich hab auf diversen Seiten nachgeschaut ob ich vielleicht eine finden kann, wo man wirklich keinen Zugriff über die History hat und bei manchen gibt es ja auch ein Kontrollkästchen namens "merken" wo man mittels Auswahl des Nicknamens über die History auch automatisch das Passwort ausgefüllt bekommt. zB diese Seite

Vielen Dank für deine schnelle Hilfe du hast mich gerettet!
Ich werde es gleich mal ausprobieren!

lg disc

 

[Sven Mintel]

Das mit dem automatischen ausfüllen läuft sicher über Cookies.... hier bei Tutorials.de ist man ja auch automatisch eingelocht(so man es will).... ist so ziemlich das selbe,
....ausser dass man i.d.R. aus Sicherheitsgründen Passwörter überhaupt nicht in der Userverwaltung speichert, es also auch nicht möglich ist, ein Textfeld damit zu belegen.

 

[mAu]

Mh, wenn man im IE sich wo einloggt, kommt meistens die Frage, wollen sie das Password speichern? Wenn du dann das nächste mal kommst und deinen Usernamen eingibts, ist das PW Feld dann schon ausgefüllt, sofern diese Funktion nicht deaktiviert wurde, bzw. das Password gespeichert wurde !

mfg mAu

 

[Sven Mintel]

Bei meinem IE ist das nur bei der HTTP-Authentification.
Das lässt sich sicher auch irgendwo deaktivieren... die Speichern-Option.
Allerdings nur vom Rechner aus... von der Seite aus kannst du darauf keinen Einfluss nehmen.

 

[Discman]

Danke fatalus hab den tag erst heute ausprobieren können, hat super geklappt.

Nochmal danke!

lg disc