Désactiver la saisie automatique des mots de passe ?

Le
Lionel
Bonjour,

J'ai quelques petits malins sur une appli web qui activent la saisie semi
automatique + enregistrement des mots de passe, puis demandent à un admin,
naïf de préférence de se connecter depuis leur poste pour pouvoir ensuite
récupérer ses droits.
Comment faire pour bloquer la saisie automatique d'un mot de passe ?
(désactiver la saisie semi automatique pour le login ne résoudra pas le
problème puisqu'il lui suffit de le lire à l'écran).
Peut etre faut-il mettre login + mot de passe en input de type password.
Y a-t-il une autre solution ?

Merci
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
ASM
Le #3982

Comment faire pour bloquer la saisie automatique d'un mot de passe ?


essayer un truc du genre (longueur pw > 5) :

<script type="text/javascript">
var ind=0;
</script>
<input type=hidden name="ok" value="">
Login : <input type=text name=login><br>
Mot de passe : <input type=password name=pass
onkeyup="ind++;ok.value=ind;"><br>
<input type=reset value="R a Z" onclick="ind=0;">
<input type=submit value="Valider"><br>
<em>Notez que la saisie automatique est ici desactivée</em>
</form>

mais si le JS est désactivé hop! çà ne fonctionnera pas

essayer avec :

<form action="" onsubmit="this.action='page.htm';
if(!(ind>5)) alert('Entree incorrecte');
return (ind>5);"
<h3>Ce controle necessite que le JavaScript soit actif</h3>

le hidden 'ok' peut servir à du php pour controler
que le pw a été tapé en dur

--
*******************************************************
Stéphane MORIAUX et son vieux Mac
Aide Pages Perso (images & couleurs, formulaire, CHP)
http://perso.wanadoo.fr/stephane.moriaux/internet/
*******************************************************

Lionel
Le #3444
ASM wrote:

Comment faire pour bloquer la saisie automatique d'un mot de passe ?


essayer un truc du genre (longueur pw > 5) :

<script type="text/javascript">
var ind=0;
</script>
<input type=hidden name="ok" value="">
Login : <input type=text name=login><br>
Mot de passe : <input type=password name=pass
onkeyup="ind++;ok.value=ind;"><br>
<input type=reset value="R a Z" onclick="ind=0;">
<input type=submit value="Valider"><br>
<em>Notez que la saisie automatique est ici desactivée</em>
</form>

mais si le JS est désactivé hop! çà ne fonctionnera pas

essayer avec :

<form action="" onsubmit="this.action='page.htm';
if(!(ind>5)) alert('Entree incorrecte');
return (ind>5);"


Excellente idée !!
Afin de bloquer ceux qui éventuellement déplaceront le curseur avec les
flèches, je remets le password à vide lors d'une erreur, et j'ai remplacé le
test par
if(ind>=champPassword.value.length) {

return true;

}

Pas de souci pour javascript, je suis sur un intranet, JS activé avec des
utilisateurs qui connaissent rien au javascript.

Le code est donc super facile à "cracker" mais personne ne le fera.


\(¯`·..Yttrium ...·´¯\)
Le #3442
"Lionel" <SPAMcoollATfreePOINTfr> a écrit dans le message de news:
42a6c251$0$30659$

Pas de souci pour javascript, je suis sur un intranet, JS activé avec des
utilisateurs qui connaissent rien au javascript.

Le code est donc super facile à "cracker" mais personne ne le fera.



Trop de certitudes mon ami......

ASM
Le #3441
Lionel wrote:
ASM wrote:


Comment faire pour bloquer la saisie automatique d'un mot de passe ?


essayer un truc du genre (longueur pw > 5) :

<script type="text/javascript">
var ind=0;
</script>
<input type=hidden name="ok" value="">
Login : <input type=text name=login><br>
Mot de passe : <input type=password name=pass
onkeyup="ind++;ok.value=ind;"><br>
<input type=reset value="R a Z" onclick="ind=0;">
<input type=submit value="Valider"><br>
<em>Notez que la saisie automatique est ici desactivée</em>
</form>

mais si le JS est désactivé hop! çà ne fonctionnera pas

essayer avec :

<form action="" onsubmit="this.action='page.htm';
if(!(ind>5)) alert('Entree incorrecte');
return (ind>5);"



Excellente idée !!
Afin de bloquer ceux qui éventuellement déplaceront le curseur avec les
flèches, je remets le password à vide lors d'une erreur, et j'ai remplacé le
test par
if(ind>=champPassword.value.length) {

return true;


ben non : il faut que ça puisse aussi retourner false
sinon tu vas faire ouvrir le dossier de la page du form

donc :
onsubmit="this.action='page.htm';
if(ind<6) || ind!=champPassword.value.length)){
alert('Entrxe9e incorrecte'+
'nveuilez recommencer');
this.login=this.champPassword=this.action=''; ind=0;
return false;
}
else return true;"

Pas de souci pour javascript, je suis sur un intranet, JS activé avec des
utilisateurs qui connaissent rien au javascript.

Le code est donc super facile à "cracker" mais personne ne le fera.


je vois pas comment le "cracker"
même en bricolant dans le password
puis en y revenant
en effet si la personne a déjà bricolé dans le pass et y revient
avant de submiter, l'indicateur 'ind' pourra être > que 5
et alors avec un copié-collé il faudra être sioux
pour que ind = champPassword.value.length
(le coup des fleches de déplacement, faut y penser !)

<input type=password name=champPassword
onkeyup="var cle = event.keyCode;
if(cle!@ && cle!7 && cle!8 && cle!9) {
ind++; ok.value=ind;}">

Ceci-dit bien qu'il me semble que ton réel probléme soit
"empecher la capture (mise en remplissage auto de form) d'un formulaire"
et çà c'est du ressort du système ou de IE direcement
Néanmoins avc ce JS de barrage peut-être que ?


--
Stephane Moriaux et son [moins] vieux Mac



Lionel
Le #3439
(¯`·..Yttrium ...·´¯) wrote:
Le code est donc super facile à "cracker" mais personne ne le fera.


Trop de certitudes mon ami......


Mes utilisateurs sont pas des informaticiens, y en a pas un seul qui sait ce
qu'est l'html ou le javascript.
Et si c'était le cas tant pis, rien de bien dramatique.


Lionel
Le #3438
ASM wrote:
ben non : il faut que ça puisse aussi retourner false
sinon tu vas faire ouvrir le dossier de la page du form


je n'avais mis qu'un extrait de mon code, juste pour faire comprendre l'idée
:)

je vois pas comment le "cracker"
Super facile à partir du code JS, quel qu'il soit.

Il suffit de regarder comment est incrémenté le compteur.
en ajoutant un espace puis en le supprimant, index=2.
Si le mot de passe fait 4 caractères, il suffit de le faire 2 fois :)

même en bricolant dans le password
puis en y revenant
en effet si la personne a déjà bricolé dans le pass et y revient
avant de submiter, l'indicateur 'ind' pourra être > que 5
et alors avec un copié-collé il faudra être sioux
pour que ind = champPassword.value.length
(le coup des fleches de déplacement, faut y penser !)

<input type=password name=champPassword
onkeyup="var cle = event.keyCode;
if(cle!@ && cle!7 && cle!8 && cle!9) {
ind++; ok.value=ind;}">

Ceci-dit bien qu'il me semble que ton réel probléme soit
"empecher la capture (mise en remplissage auto de form)


oui, il suffit normalement de faire un <FORM/input AUTOCOMPLETE="off"> pour
IE (100% de l'intranet)
2 sécurités valent mieux qu'une :)

ASM
Le #3436
Lionel wrote:


Mes utilisateurs sont pas des informaticiens, y en a pas un seul qui sait ce
qu'est l'html ou le javascript.


enfin, dommage qu'encore une fois les gentils vont trinquer
à cause de qques facétieux.

Leur prévoir un autre js pour remplissage auto du pass ?

--
Stephane Moriaux et son [moins] vieux Mac

Publicité
Poster une réponse
Anonyme