Главная > Computers and Internet, Information security, Internet Explorer > Почему в Internet Explorer не работает автозаполнение форм через HTTPS?

Почему в Internet Explorer не работает автозаполнение форм через HTTPS?


httpsОчень часто пользователи жалуются на форумах, что в Internet Explorer якобы не работает автозаполнение форм для сайтов через протокол HTTPS. При этом, на тех же форумах “народные умельцы” рекомендуют им поставить “нормальные браузеры”, либо движок Google Chrome Frame, в которых такой проблемы нет, при этом, особо не разбираясь в деталях.

Мы же с вами в данной статье попробуем разобраться в этом вопросе и найти причину данного явления.

Криптографические протоколы SSL/TLS, как вы знаете, применяются с целью защитить передаваемую информацию путем установления безопасного соединения между клиентом и сервером. Другими словами, они дают возможность клиент-серверным приложениям осуществлять связь в сети таким образом, чтобы предотвратить прослушивание и несанкционированный доступ к передаваемым данным. С этой целью веб-ресурсы часто запрещают сохранять передаваемые по HTTPS данные на клиентской стороне. Почему? Потому, что это чревато серьезными проблемами с безопасностью. Так, например, на ресурсе http://xss.cx/ приведено подробное описание возможной Сross Site Sсriрting-атаки протокола HTTPS при включенном автозаполнении форм.

Другим словами, включенное автозаполнение может скомпрометировать всю https сессию. Поэтому многие сайты отключают его на серверной стороне, например, атрибутом AUTOCOMPLETE=OFF.

Важно: Internet Explorer не сохраняет данные веб-форм только в том случае, если это явно запрещено. Если автозаполнение разрешено, то в Internet Explorer оно тоже работает, даже по протоколу HTTPS. Вот пример тестовой https веб-страницы, в которой автозаполнение нормально работает.

Почему же автозаполнение форм работает практически всегда в других браузерах? Почему, если сайт запрещает сохранять передаваемую конфиденциальную информацию пользователя,  многие браузеры ее все равно у себя сохраняют, а некоторые даже могут передавать третьим лицам?

На эти вопросы у меня ответов нет. На мой взгляд, одной из причин может быть то, что разработчики альтернативных браузеров не особо беспокоятся вопросами приватности и безопасности конечного пользователя. Возможно, именно по этой причине многие клиент-банки работают только с Internet Explorer, так как хотят обезопасить своего клиента от злоумышленников.

Но это только мое мнение.

Также по теме:
Так какой браузер самый безопасный?
Как не надо ставить обновления!
Сравнение эффективности работы защитных механизмов в браузерах
Вебкаст: сравнение эффективности работы защитных механизмов в различных интернет-браузерах

Реклама
  1. 30.07.2012 в 07:10

    Логично. Хоть и не «порнорежим», но раз HTTPS, то надо данные с головы писать. И вообще их иногда нужно самому вводить чтобы не забыть.

    • 30.07.2012 в 09:06

      Если это намек на то, что ИЕ не режет рекламу, то он умеет это делать, просто не все об этом знают 😉

  2. 31.07.2012 в 13:04

    А русские буквы в адресах в белиберду он зачем превращает? Тоже из соображений безопасности?

  3. 27.08.2012 в 23:33

    Стоит еще отметить, что Internet Explorer позволяет самостоятельно управлять параметрами автозаполнение из меню настроек (рисунок 2).

  4. Пит
    04.06.2013 в 09:50

    Пустая статья. Спасибо автору.

  1. No trackbacks yet.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

%d такие блоггеры, как: