Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

input type = password autocomplete = off は使ってはいけない

44,015 views

Published on

江戸前セキュリティ勉強会(2014/07/5) で発表したライトニング トークのスライドです

Published in: Technology
  • Be the first to comment

input type = password autocomplete = off は使ってはいけない

  1. 1. <input type="password" autocomplete="off"/> は 使ってはいけない Murachi Akira aka hebikuzure This material provided by CC BY-NC-ND 4.0. See http://creativecommons.org/licenses/by-nc-nd/4.0/
  2. 2. About me 村地 彰 株式会社シーピーエス http://www.murachi.net/ http://www.hebikuzure.com/ MicrosoftMVP(InternetExplorer)Apr.2011~ 2014/7/5 2© 2014 Murachi Akira - CC BY-NC-ND - 江戸前セキュリティ勉強会
  3. 3. 情報セキュリティ ポリ シー Web システムの パスワードは ブラウザーに 保存させないこと 2014/7/5 © 2014 Murachi Akira - CC BY-NC-ND - 江戸前セキュリティ勉強会 3
  4. 4. 2014/7/5 © 2014 Murachi Akira - CC BY-NC-ND - 江戸前セキュリティ勉強会 4 ありませんか?
  5. 5. 実施手順 フォームのパスワード入力 欄には <input type="password" autocomplete="off"/> を指定すること 2014/7/5 © 2014 Murachi Akira - CC BY-NC-ND - 江戸前セキュリティ勉強会 5
  6. 6. 2014/7/5 © 2014 Murachi Akira - CC BY-NC-ND - 江戸前セキュリティ勉強会 6 ありませんか?
  7. 7. 2014/7/5 © 2014 Murachi Akira - CC BY-NC-ND - 江戸前セキュリティ勉強会 7
  8. 8. 最新のブラウザーでは form の input type="password" フィールドの autocomplete="off" は無視されます 2014/7/5 © 2014 Murachi Akira - CC BY-NC-ND - 江戸前セキュリティ勉強会 8
  9. 9. 2014/7/5 © 2014 Murachi Akira - CC BY-NC-ND - 江戸前セキュリティ勉強会 9 Why?
  10. 10. 2014/7/5 © 2014 Murachi Akira - CC BY-NC-ND - 江戸前セキュリティ勉強会 10 ユーザーが複雑なパスワードを 設定しやすくする ローカルにパスワードが保存され ることのリスクより、安易なパス ワードが使い回されることのリス クの方が大きい
  11. 11. Internet Explorer 2014/7/5 © 2014 Murachi Akira - CC BY-NC-ND - 江戸前セキュリティ勉強会 11 http://msdn.microsoft.com/en-us/library/ie/ms533486.aspx IE11 ではサポートされません
  12. 12. Google Chrome 2014/7/5 © 2014 Murachi Akira - CC BY-NC-ND - 江戸前セキュリティ勉強会 12 http://googlechromereleases.blogspot.jp/2014/04/stable-channel-update.html Chrome34 以降サポートされません
  13. 13. Mozilla Firefox 2014/7/5 © 2014 Murachi Akira - CC BY-NC-ND - 江戸前セキュリティ勉強会 13 https://developer.mozilla.org/en-US/Firefox/Releases/30/Site_Compatibility Firefox30 以降サポートされません
  14. 14. Opera Chrome と同じ Blink エンジンのため Opera 21 (Chromium 34 ベース) から Google Chrome 34 以降と同じ動作 2014/7/5 © 2014 Murachi Akira - CC BY-NC-ND - 江戸前セキュリティ勉強会 14 Opera 21 以降サポートされません
  15. 15. Safari よくわからないけど autocomplete="off" は無視されることがあるようです 2014/7/5 © 2014 Murachi Akira - CC BY-NC-ND - 江戸前セキュリティ勉強会 15 参考 https://discussions.apple.com/thread/6371922 https://discussions.apple.com/thread/5834828 http://lists.w3.org/Archives/Public/public-webapps/2013OctDec/1028.html
  16. 16. 結論 Web サイトでパスワード欄に autocomplete="off" を指定しても ブラウザーに無視される 2014/7/5 © 2014 Murachi Akira - CC BY-NC-ND - 江戸前セキュリティ勉強会 16
  17. 17. つまり 実施手順 autocomplete="off" ではセキュリティポリシーを 守れない 2014/7/5 © 2014 Murachi Akira - CC BY-NC-ND - 江戸前セキュリティ勉強会 17
  18. 18. 代替案 ブラウザー自体の設定で オートコンプリートを無効にする ◦例 : Internet Explorer の場合 グループ ポリシー「フォームのユー ザー名とパスワードのオートコンプ リート機能を有効にする」 2014/7/5 © 2014 Murachi Akira - CC BY-NC-ND - 江戸前セキュリティ勉強会 18
  19. 19. 宣伝 第19回ネットワークパケットを読む会(仮) ◦7/29 (火) 開催予定 はじめての Web Debugger Fiddler ◦7/28 (月) 開催予定 http://pa.hebikuzure.com にて詳細公開 2014/7/5 © 2014 Murachi Akira - CC BY-NC-ND - 江戸前セキュリティ勉強会 19

×