Recordando el correo electrónico en el formulario de inicio de sesión

2

Después de cerrar sesión, Google recuerda las direcciones de correo electrónico utilizadas recientemente en el formulario de inicio de sesión, por lo que el usuario solo necesita ingresar la contraseña. Ver accounts.google.com.

¿Qué tan seguro es? ¿Qué factores debo considerar al implementar esto en mis propios proyectos?

    
pregunta Roman Vernik 21.02.2016 - 16:09
fuente

1 respuesta

2
  

¿Qué tan seguro es?

Si el nombre de usuario ya es información pública, no veo un riesgo significativo. Una dirección de correo electrónico debe considerarse información pública en la mayoría de los casos, ya que debe ser conocida por cualquier persona que desee utilizarla.

  

¿Qué problemas me pueden impedir usar el mismo comportamiento en mi propio proyecto?

En primer lugar, creo que en la mayoría de los casos esta funcionalidad está mejor delegada al navegador web. La mayoría de los navegadores modernos tienen una función para recordar datos de formularios que el usuario puede habilitar y deshabilitar según lo deseen.

Si sigue adelante e implementa, entonces debes considerar cuán sensible es la información a amenazas como que un atacante tenga acceso al cliente (por ejemplo, una máquina compartida) o que la vea físicamente mientras mira por encima del hombro del usuario. .

Estas serán amenazas menores para la mayoría de los usuarios, pero seguirán existiendo para usuarios en dispositivos públicos, etc., por lo que, obviamente, debe darles la opción de desactivarlo y evitar recordar cualquier cosa que pueda comprometer significativamente su sistema si se supervisa de esta manera. .

Un caso interesante en el que podría querer implementar su propio esquema de "recordarme" es cuando convenga de manera significativa al usuario a recordar el valor, pero sería demasiado arriesgado dejar que el navegador del usuario lo recuerde y lo muestre claramente. texto.

En ese caso, muestra un valor confuso al usuario, pero recuerda el valor verdadero sin mostrarlo en la interfaz de usuario. Luego puede usar una opción como autocomplete="off" o un nombre de campo aleatorio para evitar que el navegador lo recuerde. Esto es comúnmente usado por los bancos para nombres de usuarios y números de cuentas asignados al azar que tienen un alto riesgo de ser supervisados pero no son fáciles de recordar.

    
respondido por el thexacre 21.02.2016 - 23:27
fuente

Lea otras preguntas en las etiquetas