Project

General

Profile

Actions

Support #13716

open

Firefox ask to store username/password

Added by Carsten Rose 4 months ago. Updated 3 months ago.

Status:
Feedback
Priority:
High
Assignee:
Carsten Rose
Target version:
Start date:
25.01.2022
Due date:
% Done:

0%

Estimated time:
Discuss:

Description

  • Bei dem 'Event' Form in SeminarLive fragt Firefox (Chrome tut das dort nicht) ob er Username/Password speichern soll sobald man den Pill wechselt.
  • Das Form ist angehaengt und kann importiert werden - die primary table muss sicher angepasst werden.
  • Bitte check woran das liegt und was wir bei QFQ aendern muessen damit das nicht mehr passiert.
  • Sollte der Fehler nicht reproduzierbar bitte bei CR melden.
  • Ursache koennte das 'hide password' oder auch die vielen Dynamic Update sein.
  • Der Effekt stoert sehr, gerade in SeminarLive bei dem in Kuerze viele User mit arbeiten werden.

Files

Event.json (69.6 KB) Event.json Carsten Rose, 25.01.2022 11:18
password.png (111 KB) password.png Carsten Rose, 25.01.2022 11:22

Related issues

Related to QFQ - Bug #13827: Datetimepicker: browser (Brave) offers user credentialsClosedCarsten Rose20.02.2022

Actions
Actions #1

Updated by Carsten Rose 4 months ago

Actions #2

Updated by Carsten Rose 4 months ago

  • Description updated (diff)
Actions #3

Updated by Enis Nuredini 3 months ago

  • Status changed from New to Priorize
Actions #4

Updated by Enis Nuredini 3 months ago

  • Status changed from Priorize to ToDo
Actions #5

Updated by Enis Nuredini 3 months ago

  • Status changed from ToDo to In Progress
Actions #6

Updated by Enis Nuredini 3 months ago

  • Status changed from In Progress to Feedback
  • Assignee changed from Enis Nuredini to Carsten Rose

Annahme Hide password oder dynamic update als Problem widerlegt:
Beim Pill Wechsel wird kein QFQ aufgerufen. Sprich load.php wird nicht geladen. Nur JS wird ausgeführt und der Anker Tag dadurch verändert mit anschliessendem location Aufruf.

Für den Test wurde ein Formular aufgebaut mit 2 Pills und in jedem Pill ein Formelement (Type text und password) ohne Dynamic Update oder Hidden mode. Sobald etwas im Input type Feld 'password' eingetragen wird, erfolgt bei URL Änderung das Erscheinen des Login Save Info Fensters.

Im Gegensatz zu Chrome oder Opera reagiert Firefox auch auf die Veränderung des Anker Tags in der URL.

1. Lösungsvariante: Bei Settings in Firefox -> Privacy&Settings -> Logins and Passwords -> Exceptions (URL der Seite eintragen) Somit werden für die Seite keine Login Save Infos aufgerufen.
2. Lösungsvariante: Mann verzichtet auf das Formelement password wenn es nicht unbedingt gebraucht wird und somit wird kein input type="password" verwendet.
3. Lösungsvariante (Viel Aufwand): Weiteres Formelement passwordFake anbieten und dabei input type text verwenden, jedoch mit JS die Zeichen als Asterisk verstecken...

Besprechung nötig.

Actions #7

Updated by Carsten Rose 3 months ago

Sollten wir mit Benj oder Philipp besprechen.

Actions #8

Updated by Carsten Rose 3 months ago

  • Related to Bug #13827: Datetimepicker: browser (Brave) offers user credentials added
Actions #9

Updated by Benjamin Baer 3 months ago

https://stackoverflow.com/questions/32369/disable-browser-save-password-functionality


<form id="loginForm" action="login.cgi" method="post" autocomplete="off">
Actions #10

Updated by Benjamin Baer 3 months ago

"Preventing autofilling with autocomplete="new-password

If you are defining a user management page where a user can specify a new password for another person, and therefore you want to prevent autofilling of password fields, you can use  autocomplete="new-password" .

This is a hint, which browsers are not required to comply with. However modern browsers have stopped autofilling  <input>  elements with  autocomplete="new-password"  for this very reason. For example, Firefox version 67 (see bug 1119063) stopped autofilling in this case; however, Firefox 70 (see bug 1565407) can suggest securely-generated passwords, but does not autofill a saved password. See the autocomplete  compat table for more details.

https://developer.mozilla.org/en-US/docs/Web/Security/Securing_your_site/Turning_off_form_autocompletion

Actions #11

Updated by Enis Nuredini 3 months ago

Habe 4 Varianten getestet:
1. autocomplete im Form Tag auf "off" gesetzt -> Problem besteht weiterhin.
2. autocomplete="new-password" im input type password Tag eingetragen -> Problem wird verlagert. Statt des Fensters Save Login nach Pill Wechsel erscheint nun Update Login. Selber nerviger Effekt, nur anderst beschriftet.
3. autocomplete="off" im input type password Tag eingetragen -> Problem besteht weiterhin.
4. autocomplete="off" im Form Tag und autocomplete="new-password" im input type password -> Wieder statt Save Login erscheint nun Update Login nach Pill Wechsel

Actions #12

Updated by Enis Nuredini 3 months ago

Laut Benj ist die Lösung mit autocomplete=new-password ausreichend. Das Pop Up erscheint nur noch beim Update des Passwortes.

Im Allgemeinen habe ich noch im Web nach Lösungen geschaut ob es eine Möglichkeit gibt das Pop up Fenster ausserhalb der Browser Settings zu deaktivieren. Scheint nicht möglich zu sein. Entweder man verzichtet auf den type=password oder setzt in den Browser Einstellungen die Seite in den Ausnahmen rein für 'Ask to save login and password'.

Actions

Also available in: Atom PDF