Почему в Internet Explorer не работает автозаполнение форм через HTTPS?

Очень часто пользователи жалуются на форумах, что в Internet Explorer якобы не работает автозаполнение форм для сайтов через протокол HTTPS. При этом, на тех же форумах “народные умельцы” рекомендуют им поставить “нормальные браузеры”, либо движок Google Chrome Frame, в которых такой проблемы нет, при этом, особо не разбираясь в деталях.

Мы же с вами в данной статье попробуем разобраться в этом вопросе и найти причину данного явления.

Криптографические протоколы SSL/TLS, как вы знаете, применяются с целью защитить передаваемую информацию путем установления безопасного соединения между клиентом и сервером. Другими словами, они дают возможность клиент-серверным приложениям осуществлять связь в сети таким образом, чтобы предотвратить прослушивание и несанкционированный доступ к передаваемым данным. С этой целью веб-ресурсы часто запрещают сохранять передаваемые по HTTPS данные на клиентской стороне. Почему? Потому, что это чревато серьезными проблемами с безопасностью. Так, например, на ресурсе http://xss.cx/ приведено подробное описание возможной Сross Site Sсriрting-атаки протокола HTTPS при включенном автозаполнении форм.

Другим словами, включенное автозаполнение может скомпрометировать всю https сессию. Поэтому многие сайты отключают его на серверной стороне, например, атрибутом AUTOCOMPLETE=OFF.

Важно: Internet Explorer не сохраняет данные веб-форм только в том случае, если это явно запрещено. Если автозаполнение разрешено, то в Internet Explorer оно тоже работает, даже по протоколу HTTPS. Вот пример тестовой https веб-страницы, в которой автозаполнение нормально работает.

Почему же автозаполнение форм работает практически всегда в других браузерах? Почему, если сайт запрещает сохранять передаваемую конфиденциальную информацию пользователя,  многие браузеры ее все равно у себя сохраняют, а некоторые даже могут передавать третьим лицам?

На эти вопросы у меня ответов нет. На мой взгляд, одной из причин может быть то, что разработчики альтернативных браузеров не особо беспокоятся вопросами приватности и безопасности конечного пользователя. Возможно, именно по этой причине многие клиент-банки работают только с Internet Explorer, так как хотят обезопасить своего клиента от злоумышленников.

Но это только мое мнение.

Также по теме:
Так какой браузер самый безопасный?
Как не надо ставить обновления!
Сравнение эффективности работы защитных механизмов в браузерах
Вебкаст: сравнение эффективности работы защитных механизмов в различных интернет-браузерах