> -----Original Message----- > From: [email protected] [mailto:[email protected]] On > Behalf Of Marco Ermini > Sent: mercoledì 29 aprile 2009 0.59 > To: [email protected] > Subject: Re: [ml] Prevenire Password Caching > > 2009/4/27 Gabriele Scolaro: > [...] > > Se l'utente seleziona "Remember MY Passoword", la password non viene > > richiesta al prossimo accesso al sito. > > Come è possibile impedire questo meccanismo di "password caching" > agendo sul > > lato server? > > Nella mia ignoranza, modificando l'applicazione web? > > <INPUT TYPE="password" AUTOCOMPLETE="off">
Con IIS impostato con Integrated Authentication non ho una form di autenticazione ma la box di login di IE, ho notato le credenziali vengono salvate nel Credential Manager di Windows (control userpasswords2) e non nel browser. Credo che dovrò implementare (come ho letto in giro, nella mia vergognosa ignoranza!) una ASP.NET 2.0 Forms Based Authentication (FBA) verso la Extranet - dove le connessioni vengono redirette dal reverse proxy - e poi trovare un modo per bloccare il caching del browser impostando IIS con accesso anonimo al sito (il Credential Manager di Windows a quel punto non dovrebbe essere utilizzato). Dalle informazioni che ho raccolto, come tu suggerisci (grazie!), AUTOCOMPLETE="off" è una delle opzioni, ma non essendo uno standard potrebbe non essere interpretato correttamente dal browser. Ho letto che alcuni usano una tecnica di randomizzazione del campo passoword per ingannare il meccanismo di caching del browser. Qualcuno ha altri suggerimenti su come prevenire il password caching del browser? Che tecniche usano i sistemi di online banking? Grazie mille - Gabriele ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
