Почему в Internet Explorer не работает автозаполнение форм через HTTPS?
Очень часто пользователи жалуются на форумах, что в Internet Explorer якобы не работает автозаполнение форм для сайтов через протокол HTTPS. При этом, на тех же форумах “народные умельцы” рекомендуют им поставить “нормальные браузеры”, либо движок Google Chrome Frame, в которых такой проблемы нет, при этом, особо не разбираясь в деталях.
Мы же с вами в данной статье попробуем разобраться в этом вопросе и найти причину данного явления.
Криптографические протоколы SSL/TLS, как вы знаете, применяются с целью защитить передаваемую информацию путем установления безопасного соединения между клиентом и сервером. Другими словами, они дают возможность клиент-серверным приложениям осуществлять связь в сети таким образом, чтобы предотвратить прослушивание и несанкционированный доступ к передаваемым данным. С этой целью веб-ресурсы часто запрещают сохранять передаваемые по HTTPS данные на клиентской стороне. Почему? Потому, что это чревато серьезными проблемами с безопасностью. Так, например, на ресурсе http://xss.cx/ приведено подробное описание возможной Сross Site Sсriрting-атаки протокола HTTPS при включенном автозаполнении форм.
Другим словами, включенное автозаполнение может скомпрометировать всю https сессию. Поэтому многие сайты отключают его на серверной стороне, например, атрибутом AUTOCOMPLETE=OFF.
Важно: Internet Explorer не сохраняет данные веб-форм только в том случае, если это явно запрещено. Если автозаполнение разрешено, то в Internet Explorer оно тоже работает, даже по протоколу HTTPS. Вот пример тестовой https веб-страницы, в которой автозаполнение нормально работает.
Почему же автозаполнение форм работает практически всегда в других браузерах? Почему, если сайт запрещает сохранять передаваемую конфиденциальную информацию пользователя, многие браузеры ее все равно у себя сохраняют, а некоторые даже могут передавать третьим лицам?
На эти вопросы у меня ответов нет. На мой взгляд, одной из причин может быть то, что разработчики альтернативных браузеров не особо беспокоятся вопросами приватности и безопасности конечного пользователя. Возможно, именно по этой причине многие клиент-банки работают только с Internet Explorer, так как хотят обезопасить своего клиента от злоумышленников.
Но это только мое мнение.
Также по теме:
Так какой браузер самый безопасный?
Как не надо ставить обновления!
Сравнение эффективности работы защитных механизмов в браузерах
Вебкаст: сравнение эффективности работы защитных механизмов в различных интернет-браузерах
Логично. Хоть и не «порнорежим», но раз HTTPS, то надо данные с головы писать. И вообще их иногда нужно самому вводить чтобы не забыть.
Если это намек на то, что ИЕ не режет рекламу, то он умеет это делать, просто не все об этом знают 😉
А русские буквы в адресах в белиберду он зачем превращает? Тоже из соображений безопасности?
Миша, прости, но причем тут русские буквы в адресах?
Не причём, просто крик души 🙂
Стоит еще отметить, что Internet Explorer позволяет самостоятельно управлять параметрами автозаполнение из меню настроек (рисунок 2).
Пустая статья. Спасибо автору.