我们公司有一个基于移动网络的应用程序。由于应用程序的性质,我们不希望用户手机上的浏览器提示用户将表单上的密码保存为a.k.a自动完成功能。
我们设法通过将自动完成标记设置为“关闭”来为IE和Firefox做到这一点,但这似乎不适用于Opera mini(我猜一般的歌剧)。我知道用户可以在他们的设置中将其设置为关闭但出于安全原因我们宁愿禁用它吗?
通过代码有解决方法吗?该应用程序是使用基于Jboss / Apache架构的faces组件的Java应用程序。
答案 0 :(得分:1)
通常,Opera允许用户配置是否应该遵循autocomplete = off。原则上,用户应该能够配置密码存储功能,并且网站不应该随意影响配置。
但是,我当然可以看到,对于特定情况,例如“通过短信向设备Opera发送一次性密码记住常规密码”,这很糟糕。如果您已为高价值网站存储密码+使用短信一次性密码作为“带外”身份验证,则丢失的手机将成为主要风险。这个问题的根源是假设SMS构成“三因素”身份验证 - 如果存储的登录和SMS在同一设备上,它不再是“三因素”..
尝试让用户处于控制之下是很棘手的,而当这是真的好主意时,会屈服于网站。可悲的是,我认为现在这是一个尚未解决的问题。
如果您有一个很好的用例来禁用密码存储并且正在一个重要的站点上工作,那么可能会说服Opera Mini服务器管理员在特定站点的基础上禁用密码管理器?我不知道,但如果你把它作为一个错误报告给Opera,它至少会给内部讨论更多的动力。请随时与我联系,提及错误报告,因为我处于可以密切关注它的位置; - )