input type = password autocomplete = off は使ってはいけない
DESCRIPTION
江戸前セキュリティ勉強会(2014/07/5) で発表したライトニング トークのスライドですTRANSCRIPT
![Page 1: input type = password autocomplete = off は使ってはいけない](https://reader035.vdocuments.mx/reader035/viewer/2022062405/55844084d8b42a56178b5080/html5/thumbnails/1.jpg)
<input type="password" autocomplete="off"/> は使ってはいけない
Murachi Akira aka hebikuzure
This material provided by CC BY-NC-ND 4.0. See http://creativecommons.org/licenses/by-nc-nd/4.0/
![Page 2: input type = password autocomplete = off は使ってはいけない](https://reader035.vdocuments.mx/reader035/viewer/2022062405/55844084d8b42a56178b5080/html5/thumbnails/2.jpg)
About me 村地 彰 株式会社シーピーエス
http://www.murachi.net/ http://www.hebikuzure.com/ Microsoft MVP (Internet Explorer) Apr. 2011 ~
2014/7/5 2© 2014 Murachi Akira - CC BY-NC-ND - 江戸前セキュリティ勉強会
![Page 3: input type = password autocomplete = off は使ってはいけない](https://reader035.vdocuments.mx/reader035/viewer/2022062405/55844084d8b42a56178b5080/html5/thumbnails/3.jpg)
情報セキュリティ ポリシー
Web システムのパスワードはブラウザーに保存させないこと
2014/7/5 © 2014 Murachi Akira - CC BY-NC-ND - 江戸前セキュリティ勉強会 3
![Page 4: input type = password autocomplete = off は使ってはいけない](https://reader035.vdocuments.mx/reader035/viewer/2022062405/55844084d8b42a56178b5080/html5/thumbnails/4.jpg)
2014/7/5 © 2014 Murachi Akira - CC BY-NC-ND - 江戸前セキュリティ勉強会 4
ありませんか ?
![Page 5: input type = password autocomplete = off は使ってはいけない](https://reader035.vdocuments.mx/reader035/viewer/2022062405/55844084d8b42a56178b5080/html5/thumbnails/5.jpg)
実施手順フォームのパスワード入力欄には<input type="password" autocomplete="off"/>を指定すること
2014/7/5 © 2014 Murachi Akira - CC BY-NC-ND - 江戸前セキュリティ勉強会 5
![Page 6: input type = password autocomplete = off は使ってはいけない](https://reader035.vdocuments.mx/reader035/viewer/2022062405/55844084d8b42a56178b5080/html5/thumbnails/6.jpg)
2014/7/5 © 2014 Murachi Akira - CC BY-NC-ND - 江戸前セキュリティ勉強会 6
ありませんか ?
![Page 7: input type = password autocomplete = off は使ってはいけない](https://reader035.vdocuments.mx/reader035/viewer/2022062405/55844084d8b42a56178b5080/html5/thumbnails/7.jpg)
2014/7/5 © 2014 Murachi Akira - CC BY-NC-ND - 江戸前セキュリティ勉強会 7
X
![Page 8: input type = password autocomplete = off は使ってはいけない](https://reader035.vdocuments.mx/reader035/viewer/2022062405/55844084d8b42a56178b5080/html5/thumbnails/8.jpg)
最新のブラウザーではform の input type="password"フィールドの autocomplete="off" は無視されます
2014/7/5 © 2014 Murachi Akira - CC BY-NC-ND - 江戸前セキュリティ勉強会 8
![Page 9: input type = password autocomplete = off は使ってはいけない](https://reader035.vdocuments.mx/reader035/viewer/2022062405/55844084d8b42a56178b5080/html5/thumbnails/9.jpg)
2014/7/5 © 2014 Murachi Akira - CC BY-NC-ND - 江戸前セキュリティ勉強会 9
Why?
![Page 10: input type = password autocomplete = off は使ってはいけない](https://reader035.vdocuments.mx/reader035/viewer/2022062405/55844084d8b42a56178b5080/html5/thumbnails/10.jpg)
2014/7/5 © 2014 Murachi Akira - CC BY-NC-ND - 江戸前セキュリティ勉強会 10
ユーザーが複雑なパスワードを設定しやすくする
ローカルにパスワードが保存されることのリスクより、安易なパスワードが使い回されることのリスクの方が大きい
![Page 11: input type = password autocomplete = off は使ってはいけない](https://reader035.vdocuments.mx/reader035/viewer/2022062405/55844084d8b42a56178b5080/html5/thumbnails/11.jpg)
Internet Explorer
2014/7/5 © 2014 Murachi Akira - CC BY-NC-ND - 江戸前セキュリティ勉強会 11
http://msdn.microsoft.com/en-us/library/ie/ms533486.aspx
IE11 ではサポートされません
![Page 12: input type = password autocomplete = off は使ってはいけない](https://reader035.vdocuments.mx/reader035/viewer/2022062405/55844084d8b42a56178b5080/html5/thumbnails/12.jpg)
Google Chrome
2014/7/5 © 2014 Murachi Akira - CC BY-NC-ND - 江戸前セキュリティ勉強会 12
http://googlechromereleases.blogspot.jp/2014/04/stable-channel-update.html
Chrome34 以降サポートされません
![Page 13: input type = password autocomplete = off は使ってはいけない](https://reader035.vdocuments.mx/reader035/viewer/2022062405/55844084d8b42a56178b5080/html5/thumbnails/13.jpg)
Mozilla Firefox
2014/7/5 © 2014 Murachi Akira - CC BY-NC-ND - 江戸前セキュリティ勉強会 13
https://developer.mozilla.org/en-US/Firefox/Releases/30/Site_Compatibility
Firefox30 以降サポートされません
![Page 14: input type = password autocomplete = off は使ってはいけない](https://reader035.vdocuments.mx/reader035/viewer/2022062405/55844084d8b42a56178b5080/html5/thumbnails/14.jpg)
OperaChrome と同じ Blink エンジンのためOpera 21 (Chromium 34 ベース ) からGoogle Chrome 34 以降と同じ動作
2014/7/5 © 2014 Murachi Akira - CC BY-NC-ND - 江戸前セキュリティ勉強会 14
Opera 21 以降サポートされません
![Page 15: input type = password autocomplete = off は使ってはいけない](https://reader035.vdocuments.mx/reader035/viewer/2022062405/55844084d8b42a56178b5080/html5/thumbnails/15.jpg)
Safariよくわからないけどautocomplete="off"
は無視されることがあるようです
2014/7/5 © 2014 Murachi Akira - CC BY-NC-ND - 江戸前セキュリティ勉強会 15
参考https://discussions.apple.com/thread/6371922https://discussions.apple.com/thread/5834828http://lists.w3.org/Archives/Public/public-webapps/2013OctDec/1028.html
![Page 16: input type = password autocomplete = off は使ってはいけない](https://reader035.vdocuments.mx/reader035/viewer/2022062405/55844084d8b42a56178b5080/html5/thumbnails/16.jpg)
結論Web サイトでパスワード欄にautocomplete="off"を指定してもブラウザーに無視される
2014/7/5 © 2014 Murachi Akira - CC BY-NC-ND - 江戸前セキュリティ勉強会 16
![Page 17: input type = password autocomplete = off は使ってはいけない](https://reader035.vdocuments.mx/reader035/viewer/2022062405/55844084d8b42a56178b5080/html5/thumbnails/17.jpg)
つまり実施手順 autocomplete="off"ではセキュリティポリシーを守れない
2014/7/5 © 2014 Murachi Akira - CC BY-NC-ND - 江戸前セキュリティ勉強会 17
![Page 18: input type = password autocomplete = off は使ってはいけない](https://reader035.vdocuments.mx/reader035/viewer/2022062405/55844084d8b42a56178b5080/html5/thumbnails/18.jpg)
代替案 ブラウザー自体の設定でオートコンプリートを無効にする
◦例 : Internet Explorer の場合グループ ポリシー「フォームのユーザー名とパスワードのオートコンプリート機能を有効にする」
2014/7/5 © 2014 Murachi Akira - CC BY-NC-ND - 江戸前セキュリティ勉強会 18
![Page 19: input type = password autocomplete = off は使ってはいけない](https://reader035.vdocuments.mx/reader035/viewer/2022062405/55844084d8b42a56178b5080/html5/thumbnails/19.jpg)
宣伝 第 19 回ネットワーク パケットを読む会 ( 仮 )◦7/29 ( 火 ) 開催予定
はじめての Web Debugger Fiddler◦7/28 ( 月 ) 開催予定
http://pa.hebikuzure.com にて詳細公開2014/7/5 © 2014 Murachi Akira - CC BY-NC-ND - 江戸前セキュリティ勉強会 19