input type = password autocomplete = off は使ってはいけない
DESCRIPTION
江戸前セキュリティ勉強会(2014/07/5) で発表したライトニング トークのスライドですTRANSCRIPT
<input type="password" autocomplete="off"/> は使ってはいけない
Murachi Akira aka hebikuzure
This material provided by CC BY-NC-ND 4.0. See http://creativecommons.org/licenses/by-nc-nd/4.0/
About me 村地 彰 株式会社シーピーエス
http://www.murachi.net/ http://www.hebikuzure.com/ Microsoft MVP (Internet Explorer) Apr. 2011 ~
2014/7/5 2© 2014 Murachi Akira - CC BY-NC-ND - 江戸前セキュリティ勉強会
情報セキュリティ ポリシー
Web システムのパスワードはブラウザーに保存させないこと
2014/7/5 © 2014 Murachi Akira - CC BY-NC-ND - 江戸前セキュリティ勉強会 3
2014/7/5 © 2014 Murachi Akira - CC BY-NC-ND - 江戸前セキュリティ勉強会 4
ありませんか ?
実施手順フォームのパスワード入力欄には<input type="password" autocomplete="off"/>を指定すること
2014/7/5 © 2014 Murachi Akira - CC BY-NC-ND - 江戸前セキュリティ勉強会 5
2014/7/5 © 2014 Murachi Akira - CC BY-NC-ND - 江戸前セキュリティ勉強会 6
ありませんか ?
2014/7/5 © 2014 Murachi Akira - CC BY-NC-ND - 江戸前セキュリティ勉強会 7
X
最新のブラウザーではform の input type="password"フィールドの autocomplete="off" は無視されます
2014/7/5 © 2014 Murachi Akira - CC BY-NC-ND - 江戸前セキュリティ勉強会 8
2014/7/5 © 2014 Murachi Akira - CC BY-NC-ND - 江戸前セキュリティ勉強会 9
Why?
2014/7/5 © 2014 Murachi Akira - CC BY-NC-ND - 江戸前セキュリティ勉強会 10
ユーザーが複雑なパスワードを設定しやすくする
ローカルにパスワードが保存されることのリスクより、安易なパスワードが使い回されることのリスクの方が大きい
Internet Explorer
2014/7/5 © 2014 Murachi Akira - CC BY-NC-ND - 江戸前セキュリティ勉強会 11
http://msdn.microsoft.com/en-us/library/ie/ms533486.aspx
IE11 ではサポートされません
Google Chrome
2014/7/5 © 2014 Murachi Akira - CC BY-NC-ND - 江戸前セキュリティ勉強会 12
http://googlechromereleases.blogspot.jp/2014/04/stable-channel-update.html
Chrome34 以降サポートされません
Mozilla Firefox
2014/7/5 © 2014 Murachi Akira - CC BY-NC-ND - 江戸前セキュリティ勉強会 13
https://developer.mozilla.org/en-US/Firefox/Releases/30/Site_Compatibility
Firefox30 以降サポートされません
OperaChrome と同じ Blink エンジンのためOpera 21 (Chromium 34 ベース ) からGoogle Chrome 34 以降と同じ動作
2014/7/5 © 2014 Murachi Akira - CC BY-NC-ND - 江戸前セキュリティ勉強会 14
Opera 21 以降サポートされません
Safariよくわからないけどautocomplete="off"
は無視されることがあるようです
2014/7/5 © 2014 Murachi Akira - CC BY-NC-ND - 江戸前セキュリティ勉強会 15
参考https://discussions.apple.com/thread/6371922https://discussions.apple.com/thread/5834828http://lists.w3.org/Archives/Public/public-webapps/2013OctDec/1028.html
結論Web サイトでパスワード欄にautocomplete="off"を指定してもブラウザーに無視される
2014/7/5 © 2014 Murachi Akira - CC BY-NC-ND - 江戸前セキュリティ勉強会 16
つまり実施手順 autocomplete="off"ではセキュリティポリシーを守れない
2014/7/5 © 2014 Murachi Akira - CC BY-NC-ND - 江戸前セキュリティ勉強会 17
代替案 ブラウザー自体の設定でオートコンプリートを無効にする
◦例 : Internet Explorer の場合グループ ポリシー「フォームのユーザー名とパスワードのオートコンプリート機能を有効にする」
2014/7/5 © 2014 Murachi Akira - CC BY-NC-ND - 江戸前セキュリティ勉強会 18
宣伝 第 19 回ネットワーク パケットを読む会 ( 仮 )◦7/29 ( 火 ) 開催予定
はじめての Web Debugger Fiddler◦7/28 ( 月 ) 開催予定
http://pa.hebikuzure.com にて詳細公開2014/7/5 © 2014 Murachi Akira - CC BY-NC-ND - 江戸前セキュリティ勉強会 19