![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgGHlGt9c7UGmJL4w7Ni5CYxqXOee9lUP2XQFOkSCmS6tlHSPNY-2Xk-19a1pXbZuxJK6b3OCeRaryGbXzcdes_O_jrf04ikyGcn6z4nEVFD19EQP_3BmE2fR212QvRbChUUBMhhTEFK2U5i3hbgPGSQaLFFJPihWfDN6rik33ACkw23KWrttBo7gTd/s1600-rw/hands-545394_1280%20%281%29.jpg)
はまった〜〜〜!!仕事でハマった〜〜!!簡単な落とし穴にハマった!!
ログインページや、会員登録のページの入力項目で、ブラウザの機能の「オートコンプリート」で、勝手に前回入力した文字を記憶されて、意図しない登録がされてしまう。
という不具合が発生!!!
困った!!
開発途中は同じ値ばかり入れてたので、気にならなかったけど、本番化してみたところ、ユースケースで引っかかった!!!
正直これはバグに見える。
このオートコンプリート機能は、同じ文字を入れる場合は非常に有効なEFOだが、管理者レベルなどが別ユーザーの同一項目を操作する場合に、片方では記入されていて、片方では記入されていない場合に、先に記入して保存されている情報が、未記入が正解のはずの別のユーザーの項目を開いた時に勝手に入力されてしまっている。
このまま保存ボタンなどを押してしまった場合は、情報漏洩という事態にもなりかねん!!!
ということで管理者といえどもオペミスを無くす必要があるので、対応をしてみた。
---
そしてさらにハマった点を備忘録としておこう。
基本的に対象の入力フォームタグに「autocomplete="off"」をセットすればいい程度に考えていた。
・・・が・・・
chromeブラウザは、この属性が何故か無効になるようだ。
極悪!!!
オートコンプリートの各種cssセットとの相性というか挙動の違いを分析しているページがありました。
助かります
http://hamachiya.com/junk/x-autocompletetype.php
また、オートコンプリートによる脆弱性の危険性を指摘しているサイトもあったので共有
http://www.geocities.co.jp/Playtown-Yoyo/6130/notes/browser-password.htm
おっして、項目属性のautocomplete機能は最近のブラウザでは無視されるようだ。
HTML5の標準規格のはずなのに・・・何故????
ということで、この事象に対応できませんでした。
チックショー!!!
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjXTpPTt9tMj8jcVw0M6faH2-UdGangQAb6_G6WIfCWGbxEwnll9cVS4vPSdDSaLbSuNqClIw1BxhtbgHMtknNiOOE2DqjqtD5LD1dMgUZczbU1apWYQ_PCjATAqBGRGpR6jhwZT-njRfcoR8GRdFGi63o7fH5zLwyYp-ANysgf2wEFMmOWp7ejGs9R/s1600-rw/20060802224318.jpg)
後日リベンジします。
0 件のコメント:
コメントを投稿