¿La finalización automática constituye un problema de seguridad?

Navega tus respuestas
2

Sé que cuando complete formularios con la dirección y el correo electrónico, intentará completar automáticamente el resto de la información. ¿Es posible incluir más campos ocultos en la página para obtener más información con la función de autocompletar que la que puede ver el usuario?

Un ejemplo de la vida real. Recientemente presenté mis impuestos en línea, que incluían mi social y eso me hizo pensar si esto. Obviamente, un sitio web debería evitar el almacenamiento de información confidencial, pero si esas medidas no estuvieran implementadas, ¿podría otro sitio donde simplemente coloqué mi correo electrónico en forma automática y automáticamente más información no visible como mi social?

    
pregunta Carlos Bribiescas 04.02.2015 - 01:18
fuente

3 respuestas

2

Francamente, sí, hay un problema.

Suponiendo, por supuesto, que su navegador se está completando automáticamente, es posible que rellene con gusto cualquier campo aplicable que vea, ya sea que lo pueda ver o no.

Por eso es importante mantener limpia la herramienta de autocompletar. Los paquetes como LastPass agregan un gran icono rojo a los campos que se completan automáticamente, por lo que es muy obvio cuando se agregan datos.

    
respondido por el schroeder 04.02.2015 - 01:34
fuente
1

Véase también esta pregunta:

En caso de que se permita a los sitios web deshabilitar autocompletar en formularios o campos?

Para mí, uno de los problemas es cómo un navegador puede almacenar una contraseña. Hubo un problema identificado con Chrome hace un tiempo, donde era trivial revelar las contraseñas que estaba almacenando. Probablemente hay problemas con los otros navegadores importantes también. Si adula a los usuarios a una falsa sensación de seguridad al permitirles usar la función de autocompletar, podría estar provocándoles mal comportamiento y hacer que sus contraseñas sean fácilmente accesibles de otras maneras.

Como analogía, si obliga a los usuarios a establecer una contraseña compleja, por lo que la escriben en un post y la pegan en su pantalla, entonces no es muy seguro. Si permite que un usuario guarde su contraseña en autocompletar, pero en realidad el navegador está haciendo un mal trabajo de protección, entonces tampoco es muy seguro.

    
respondido por el TimC 04.02.2015 - 11:56
fuente
0

el autocompletado por sí mismo no es de sitio cruzado, depende de la forma, esto significa que otro sitio no puede completar automáticamente su información basándose en la información de autocompletado de otro sitio, sin embargo, es un problema de seguridad, esto se debe a que alguien con acceso a Su computadora puede obtener fácilmente su información. Esto, por supuesto, es de bajo riesgo si solo usa su PC (a menos que sea robada) pero puede ser peligroso para computadoras usadas por varias personas.

    
respondido por el Kotzu 04.02.2015 - 01:26
fuente

Lea otras preguntas en las etiquetas

¿Cómo se puede usar el ataque de sybil en un sistema P2P que implementa DHT? combinación de RSA y AES en una situación fuera de línea