Password Autocomplete in browser
Was bedeutet Password Autocomplete in browser?
Die meisten Browser verfügen über eine Funktion zum Merken von Benutzeranmeldeinformationen, Passwort Autocomplete in Browser, die in HTML-Formulare eingegeben werden. Diese Funktion kann vom Benutzer und auch von Anwendungen konfiguriert werden, die Benutzeranmeldeinformationen verwenden. Wenn die Funktion aktiviert ist, werden die vom Benutzer eingegebenen Anmeldeinformationen auf ihrem lokalen Rechner gespeichert und bei zukünftigen Besuchen derselben Anwendung vom Browser abgerufen.
Die gespeicherten Anmeldeinformationen können von einem Angreifer erfasst werden, der Kontrolle über den Computer des Benutzers erlangt. Darüber hinaus kann ein Angreifer eine separate Anwendungsschwachstelle wie Cross-Site-Scripting ausnutzen, um die vom Browser gespeicherten Anmeldeinformationen des Benutzers abzurufen.
Tipp
Überprüfen Sie die Sicherheit Ihrer Website mit unserem kostenlosen Security Crawler oder mit der OSG Performance Suite Free Version.
Mögliche Lösung
Um zu verhindern, dass Browser Anmeldeinformationen speichert, die in HTML-Formulare eingegeben werden, ist das Attribut autocomplete = “off” in den FORM-Tag (zum Schutz aller Formularfelder) oder in der entsprechenden INPUT-Tags (zum Schutz bestimmter einzelner Felder) einzutragen.
Dabei ist zu beachten, dass moderne Webbrowser diese Anweisung möglicherweise ignorieren. Trotzdem besteht die Möglichkeit, dass die Deaktivierung der Autovervollständigung zu Problemen bei der PCI-Konformität führt.
Weiterführende Informationen finden Sie hier
Sie haben noch Fragen?
