Désactiver la saisie automatique des mots de passe ?
7 réponses
Lionel
Bonjour,
J'ai quelques petits malins sur une appli web qui activent la saisie semi
automatique + enregistrement des mots de passe, puis demandent à un admin,
naïf de préférence de se connecter depuis leur poste pour pouvoir ensuite
récupérer ses droits.
Comment faire pour bloquer la saisie automatique d'un mot de passe ?
(désactiver la saisie semi automatique pour le login ne résoudra pas le
problème puisqu'il lui suffit de le lire à l'écran).
Peut etre faut-il mettre login + mot de passe en input de type password.
Y a-t-il une autre solution ?
Excellente idée !! Afin de bloquer ceux qui éventuellement déplaceront le curseur avec les flèches, je remets le password à vide lors d'une erreur, et j'ai remplacé le test par if(ind>=champPassword.value.length) {
return true;
}
Pas de souci pour javascript, je suis sur un intranet, JS activé avec des utilisateurs qui connaissent rien au javascript.
Le code est donc super facile à "cracker" mais personne ne le fera.
ASM wrote:
Comment faire pour bloquer la saisie automatique d'un mot de passe ?
essayer un truc du genre (longueur pw > 5) :
<script type="text/javascript">
var ind=0;
</script>
<form action="page.htm" onsubmit="return (ind>5);">
<input type=hidden name="ok" value="">
Login : <input type=text name=login><br>
Mot de passe : <input type=password name=pass
onkeyup="ind++;ok.value=ind;"><br>
<input type=reset value="R a Z" onclick="ind=0;">
<input type=submit value="Valider"><br>
<em>Notez que la saisie automatique est ici desactivée</em>
</form>
mais si le JS est désactivé hop! çà ne fonctionnera pas
Excellente idée !!
Afin de bloquer ceux qui éventuellement déplaceront le curseur avec les
flèches, je remets le password à vide lors d'une erreur, et j'ai remplacé le
test par
if(ind>=champPassword.value.length) {
return true;
}
Pas de souci pour javascript, je suis sur un intranet, JS activé avec des
utilisateurs qui connaissent rien au javascript.
Le code est donc super facile à "cracker" mais personne ne le fera.
Excellente idée !! Afin de bloquer ceux qui éventuellement déplaceront le curseur avec les flèches, je remets le password à vide lors d'une erreur, et j'ai remplacé le test par if(ind>=champPassword.value.length) {
return true;
}
Pas de souci pour javascript, je suis sur un intranet, JS activé avec des utilisateurs qui connaissent rien au javascript.
Le code est donc super facile à "cracker" mais personne ne le fera.
\(¯`·..Yttrium ...·´¯\)
"Lionel" <SPAMcoollATfreePOINTfr> a écrit dans le message de news: 42a6c251$0$30659$
Pas de souci pour javascript, je suis sur un intranet, JS activé avec des utilisateurs qui connaissent rien au javascript.
Le code est donc super facile à "cracker" mais personne ne le fera.
Trop de certitudes mon ami......
"Lionel" <SPAMcoollATfreePOINTfr> a écrit dans le message de news:
42a6c251$0$30659$626a14ce@news.free.fr...
Pas de souci pour javascript, je suis sur un intranet, JS activé avec des
utilisateurs qui connaissent rien au javascript.
Le code est donc super facile à "cracker" mais personne ne le fera.
Excellente idée !! Afin de bloquer ceux qui éventuellement déplaceront le curseur avec les flèches, je remets le password à vide lors d'une erreur, et j'ai remplacé le test par if(ind>=champPassword.value.length) {
return true;
ben non : il faut que ça puisse aussi retourner false sinon tu vas faire ouvrir le dossier de la page du form
Pas de souci pour javascript, je suis sur un intranet, JS activé avec des utilisateurs qui connaissent rien au javascript.
Le code est donc super facile à "cracker" mais personne ne le fera.
je vois pas comment le "cracker" même en bricolant dans le password puis en y revenant en effet si la personne a déjà bricolé dans le pass et y revient avant de submiter, l'indicateur 'ind' pourra être > que 5 et alors avec un copié-collé il faudra être sioux pour que ind = champPassword.value.length (le coup des fleches de déplacement, faut y penser !)
Ceci-dit bien qu'il me semble que ton réel probléme soit "empecher la capture (mise en remplissage auto de form) d'un formulaire" et çà c'est du ressort du système ou de IE direcement Néanmoins avc ce JS de barrage peut-être que ?
-- Stephane Moriaux et son [moins] vieux Mac
Lionel wrote:
ASM wrote:
Comment faire pour bloquer la saisie automatique d'un mot de passe ?
essayer un truc du genre (longueur pw > 5) :
<script type="text/javascript">
var ind=0;
</script>
<form action="page.htm" onsubmit="return (ind>5);">
<input type=hidden name="ok" value="">
Login : <input type=text name=login><br>
Mot de passe : <input type=password name=pass
onkeyup="ind++;ok.value=ind;"><br>
<input type=reset value="R a Z" onclick="ind=0;">
<input type=submit value="Valider"><br>
<em>Notez que la saisie automatique est ici desactivée</em>
</form>
mais si le JS est désactivé hop! çà ne fonctionnera pas
Excellente idée !!
Afin de bloquer ceux qui éventuellement déplaceront le curseur avec les
flèches, je remets le password à vide lors d'une erreur, et j'ai remplacé le
test par
if(ind>=champPassword.value.length) {
return true;
ben non : il faut que ça puisse aussi retourner false
sinon tu vas faire ouvrir le dossier de la page du form
Pas de souci pour javascript, je suis sur un intranet, JS activé avec des
utilisateurs qui connaissent rien au javascript.
Le code est donc super facile à "cracker" mais personne ne le fera.
je vois pas comment le "cracker"
même en bricolant dans le password
puis en y revenant
en effet si la personne a déjà bricolé dans le pass et y revient
avant de submiter, l'indicateur 'ind' pourra être > que 5
et alors avec un copié-collé il faudra être sioux
pour que ind = champPassword.value.length
(le coup des fleches de déplacement, faut y penser !)
Ceci-dit bien qu'il me semble que ton réel probléme soit
"empecher la capture (mise en remplissage auto de form) d'un formulaire"
et çà c'est du ressort du système ou de IE direcement
Néanmoins avc ce JS de barrage peut-être que ?
Excellente idée !! Afin de bloquer ceux qui éventuellement déplaceront le curseur avec les flèches, je remets le password à vide lors d'une erreur, et j'ai remplacé le test par if(ind>=champPassword.value.length) {
return true;
ben non : il faut que ça puisse aussi retourner false sinon tu vas faire ouvrir le dossier de la page du form
Pas de souci pour javascript, je suis sur un intranet, JS activé avec des utilisateurs qui connaissent rien au javascript.
Le code est donc super facile à "cracker" mais personne ne le fera.
je vois pas comment le "cracker" même en bricolant dans le password puis en y revenant en effet si la personne a déjà bricolé dans le pass et y revient avant de submiter, l'indicateur 'ind' pourra être > que 5 et alors avec un copié-collé il faudra être sioux pour que ind = champPassword.value.length (le coup des fleches de déplacement, faut y penser !)
Ceci-dit bien qu'il me semble que ton réel probléme soit "empecher la capture (mise en remplissage auto de form) d'un formulaire" et çà c'est du ressort du système ou de IE direcement Néanmoins avc ce JS de barrage peut-être que ?
-- Stephane Moriaux et son [moins] vieux Mac
Lionel
(¯`·..Yttrium ...·´¯) wrote:
Le code est donc super facile à "cracker" mais personne ne le fera.
Trop de certitudes mon ami......
Mes utilisateurs sont pas des informaticiens, y en a pas un seul qui sait ce qu'est l'html ou le javascript. Et si c'était le cas tant pis, rien de bien dramatique.
(¯`·..Yttrium ...·´¯) wrote:
Le code est donc super facile à "cracker" mais personne ne le fera.
Trop de certitudes mon ami......
Mes utilisateurs sont pas des informaticiens, y en a pas un seul qui sait ce
qu'est l'html ou le javascript.
Et si c'était le cas tant pis, rien de bien dramatique.
Le code est donc super facile à "cracker" mais personne ne le fera.
Trop de certitudes mon ami......
Mes utilisateurs sont pas des informaticiens, y en a pas un seul qui sait ce qu'est l'html ou le javascript. Et si c'était le cas tant pis, rien de bien dramatique.
Lionel
ASM wrote:
ben non : il faut que ça puisse aussi retourner false sinon tu vas faire ouvrir le dossier de la page du form
je n'avais mis qu'un extrait de mon code, juste pour faire comprendre l'idée :)
je vois pas comment le "cracker" Super facile à partir du code JS, quel qu'il soit.
Il suffit de regarder comment est incrémenté le compteur. en ajoutant un espace puis en le supprimant, index=2. Si le mot de passe fait 4 caractères, il suffit de le faire 2 fois :)
même en bricolant dans le password puis en y revenant en effet si la personne a déjà bricolé dans le pass et y revient avant de submiter, l'indicateur 'ind' pourra être > que 5 et alors avec un copié-collé il faudra être sioux pour que ind = champPassword.value.length (le coup des fleches de déplacement, faut y penser !)
Ceci-dit bien qu'il me semble que ton réel probléme soit "empecher la capture (mise en remplissage auto de form)
oui, il suffit normalement de faire un <FORM/input AUTOCOMPLETE="off"> pour IE (100% de l'intranet) 2 sécurités valent mieux qu'une :)
ASM wrote:
ben non : il faut que ça puisse aussi retourner false
sinon tu vas faire ouvrir le dossier de la page du form
je n'avais mis qu'un extrait de mon code, juste pour faire comprendre l'idée
:)
je vois pas comment le "cracker"
Super facile à partir du code JS, quel qu'il soit.
Il suffit de regarder comment est incrémenté le compteur.
en ajoutant un espace puis en le supprimant, index=2.
Si le mot de passe fait 4 caractères, il suffit de le faire 2 fois :)
même en bricolant dans le password
puis en y revenant
en effet si la personne a déjà bricolé dans le pass et y revient
avant de submiter, l'indicateur 'ind' pourra être > que 5
et alors avec un copié-collé il faudra être sioux
pour que ind = champPassword.value.length
(le coup des fleches de déplacement, faut y penser !)
ben non : il faut que ça puisse aussi retourner false sinon tu vas faire ouvrir le dossier de la page du form
je n'avais mis qu'un extrait de mon code, juste pour faire comprendre l'idée :)
je vois pas comment le "cracker" Super facile à partir du code JS, quel qu'il soit.
Il suffit de regarder comment est incrémenté le compteur. en ajoutant un espace puis en le supprimant, index=2. Si le mot de passe fait 4 caractères, il suffit de le faire 2 fois :)
même en bricolant dans le password puis en y revenant en effet si la personne a déjà bricolé dans le pass et y revient avant de submiter, l'indicateur 'ind' pourra être > que 5 et alors avec un copié-collé il faudra être sioux pour que ind = champPassword.value.length (le coup des fleches de déplacement, faut y penser !)