Следует ли использовать autocomplete = «off» для всех чувствительных полей?

Я ненавижу сайты, которые так делают. Клиент сам решает, сохранять пароли или нет. Особенно неприятно то, что этот атрибут нарушает встроенную в OS X поддержку KeyChain. Таким образом, даже если пользователь сохранил свой пароль в защищенном файле и разрешил себе и приложению использовать его, сайт все равно считает, что знает лучше. Просто раздражает.

Это зависит от того, что вы подразумеваете под электронной коммерцией. В интернет-банкинге вы должны отключить автозаполнение. В интернет-магазинах - не обязательно.

Стоит помнить, что автозаполнение не заставляет запоминать пароли. Пользователь должен дать согласие на хранение своих учетных данных, чтобы всегда иметь возможность отказаться.

На самом деле я не думаю, что когда-либо видел, как "автозаполнение" работает с полем пароля.

Автозаполнение (когда вы начинаете вводить что-то в поле формы и в браузере появляется всплывающий список предложений) и просить браузер запомнить ваше имя пользователя и пароль - это разные вещи.

Если вы говорите о функции браузера, которая запоминает ваше имя пользователя и пароль, я не знаю, как вы можете отключить ее на машине пользователя.

Мне очень не нравится, когда я начинаю вводить номер своей кредитной карты, и в нем перечислены все номеров, которые я использовал в прошлом, а также трехзначный код. Не круто, ИМО.

Я использую менеджеры паролей / форм, такие как 1Password и RoboForm , особенно , чтобы обходить веб-сайты, которые отключают автозаполнение; эти надстройки обычно игнорируют предпочтения веб-сайта в пользу собственной более сложной логики.

Приложение электронной коммерции, над которым я работал несколько лет назад, подверглось аудиту безопасности, и одной из их рекомендаций было отключение автозаполнения для чувствительных полей.

Это не было строгим требованием, но, вероятно, в какой-то момент станет, учитывая, как изменились стандарты электронной коммерции в наши дни...

Если это не очень защищенный сайт, я бы оставил автозаполнение включенным. Если это поле для ввода пароля, браузер спросит пользователя, хочет ли он сохранить информацию, и тогда пользователь сможет принять решение самостоятельно.

Я согласен. По привычке оставляю автозаполнение включенным. Однако был проект для ВВС, над которым я работал, требовалось отключить автозаполнение. Действительно зависит от ваших требований.

Большинство сайтов электронной коммерции отключают автозаполнение полей кредитной карты. Они сохраняют и повторно отображают информацию, когда авторизованный пользователь возвращается, а затем требуют, чтобы пользователь повторно ввел только CVV. Таким образом сайт заставляет пользователей зарегистрироваться (иначе им пришлось бы каждый раз вводить полную информацию о кредитной карте), сохраняет информацию о кредитной карте в маске при последующих посещениях и обременяет пользователя только вводом трехзначного номера. (Это также небольшой способ создания безопасной практики вокруг номеров CC, чтобы пользователи, надеюсь, были более осторожны с ними.)

Помните, что установка автозаполнения вкл/выкл решает проблему конфиденциальности данных только для общих сред, т.е. когда более одного человека имеют доступ к одному и тому же браузеру. Например, если ваше приложение предназначено для учебного класса, то логичнее будет полностью отключить автозаполнение, поскольку приложение будет повторно использоваться в одном браузере многими разными людьми.

Считайте это (не)удобной функцией, а не функцией безопасности. Вы не сможете защитить пользователей от каждой глупой ошибки при совместном использовании браузеров (например, от невыхода из системы), и, чтобы быть более милым для глупых пользователей, это никак не повлияет на атаки со стороны клиента, такие как кейлоггеры. Если среда совместного использования небезопасна, то ваше приложение не сможет много сделать для защиты своих пользователей.