input type = password autocomplete = off は使ってはいけない

Jul 5, 2014Download as pptx, pdf58 likes49,462 views

[netnotora]

「使ってはいけない」ではなく「使っても意味が無い」なのでは

[mohno]

「ローカルにパスワードが保存されることのリスクより、安易なパスワードが使い回されることのリスクの方が大きい」←バカにされがちな「パスワードをメモっておく」も、これに沿ったセキュリティ対策。

[morobitokozou]

知恵をしぼって覚えやすいパターンを考えても「少なくとも1つ以上の大文字が必要です」とか「10文字以内で設定してください」とかサイトごとに違う文句つけられてもうわけがわからないから素直に保存させてよ・・・

[localnavi]

「使ってはいけない」じゃなくて「無視されるから使ってもムダ」が正解。実際、パスワード管理はベストな手などなく、どの方法がまだマシかを妥協に妥協を重ねて考えるしかないような気がする。

[y-kawaz]

"セキュリティポリシーを守れない"＜いやそのポリシー自体が時代遅れでリスク高いから強制的に破棄させようって話でしょ。代替案で更にリスク広げてどうするよ？やるべきはセキュリティポリシーの方の再考じゃ？

[suzuki_kuzilla]

何度も言うけど、パスワードは付箋に書いてディスプレイに貼っておくべきなんだって。

[k-holy]

コンピュータに記憶させるのもそれはそれでリスクだと思うけど…自分だけが記憶できる強固なパスワードの生成方法を広めるべき。あとマルチバイト使えるようになって欲しい。

[houyhnhm]

利用者側のブラウザの挙動まで制御しようとするのは無理筋。

[mkusunok]

使っても意味がないのは同意できたけど代替策にはなってないよなぁ。工夫すればPassword Manager避ける方法は考えられるけど、それはそれで利用者に負担を押し付けることに

[sonota88]

バンダイナムコID…

[moguno]

ぺっく wrote: ブラウザに覚えさせて，人の覚えられる簡単なものを使いまわさせないという流れ } input type = password autocomplete = off は使ってはいけない http://t.co/gr9AgHy8Si

[peccu]

ブラウザに覚えさせて，人の覚えられる簡単なものを使いまわさせないという流れ } input type = password autocomplete = off は使ってはいけない

[harupong]

浦安図書館の検索・予約機能でパスワードのオートコンプリートがオフになってるの、 にもあるように悪手だし、サイトの仕様策定当時と状況が随分変わってるので、一度見なおして欲しいなぁ。

[quabbin]

ああ、最近保存できるなぁと思ったら、そんな変更が入ってたのか。知らなかったわ。サイト側で対応したのかと勘違い。で、その代替案、どういうこと？

[tmtms]

ブラウザにパスワードを保存させないというセキュリティポリシーが間違ってる。フィッシングとか考えてもブラウザに覚えさせた方が安全。

[Ohgyoku]

「使っても意味がない」仕様にしたのがセキュリティリスクがある機能だったからで、旧バージョンのブラウザを強制する企業の存在を考えれば「使ってはいけない」で正しいんだよ。

[Lian]

まじか

[inulab]

手打ちだと安易なパス使われて危険ですよ的なお話。グリモンで無理やりonにしてたんで気づかなかった

[fujya]

cache-control no-cacheもHTMLタグだと効かなくなってるし、HTMLタグでできる小手先のセキュリティ対策は減ってきてる印象。

[operationservicebu]

ふむふむ。

[larker]

ブラウザにautocompleteは無視されるらしい

[kits]

「ローカルにパスワードが保存されることのリスクより、安易なパスワードが使い回されることのリスクの方が大きい」

[deep_one]

×使ってはいけない　○使っても意味がない。／書いておいて邪魔にならないなら放って置いていいと思うよ。

[indication]

autocompleteによるフィッシングサイト回避のため、わざわざ解除してる

[hundret]

使っても意味ないのか / input type = password autocomplete = off は使ってはいけない by @hebikuzure #html #webbrowser @SlideShareさんから

[shimahi]

PCに保存して大本（起動パスワードなりログオンパスワードなり）でセキュリティ確保した方が合理的だと昔から思ってた。nsLoginManager.js書き換えとかもうやらなくていいのね

[ad2217]

パスワードはデスクトップパソコンに記憶させ、部屋に来るような友人や恋人は作らない、外出は極力控える。同じ条件なら、紙に書いて引き出しに入れておいてもいい。

[aceraceae]

使ってはいけない、ではなくて、使っても意味がない、だよね。でも誰かが憶えててくれないんだったらより安易なパスワードを設定されそうだけどな。

[yamadar]

なるほど → “ローカルにパスワードが保存され ることのリスクより、安易なパス ワードが使い回されることのリス クの方が大きい”

[kana321]

views 江戸前セキュリティ勉強会(2014/07/5) で発表したライトニング トークのスライドです

[iww]

autocomplete=onにするブックマークレット作って使ってたけど,もう不要になるのか。助かる。

[Cald]

キーパス使おう

[Jxck]

デファクトで無視される標準仕様か。。

[VoQn]

”ローカルにパスワードが保存されることのリスクより、安易なパスワードが使い回されることのリスクの方が大きい” はい。とはいえパスワード要するサービス増えすぎてこの頃辛いが

[takc923]

知らんかった