Journal Firefox et la sauvegarde des champs...

Posté par (page perso) .
Tags : aucun
-1
4
mai
2006
La plupart des navigateurs proposent une fonctionnalité de-la-mort-qui-tue : sauvegarder "implicitement" les données saisies dans un champ d'un formulaire d'une page web. Une sorte de complétion automatique basée sur l"expérience" du navigateur. Pratique en quelque sorte.

Seulement voilà, je fais mes emplètes sur le site de la Fnac et j'achète 3 billets pour les Vieilles Charrues (le PASS 3 jours, pas le PASS 4 jours ;) ), hop nickel je m'identifies et je m'apprète à rentrer mes coordonnées bancaires (num de carte bleu, etc.). Et là surprise, Firefox me propose automatiquement mon numéro ! (oui j'avais aussi commandé avant des billets pour les Terres-Neuvas le vendredi, y'a les Dandy Warhols ;) )

Alors voilà je me pose des questions...
- ok, j'ai rentré mon identifiant, c'est pas n'importe qui qui peut arriver sur cette page du formulaire, mais quels sont les critères de Firefox pour te reproposer des données ? C'est basé sur l'Url ?
- ces infos, elles sont "cryptées" ou n'importe qui peut aller farfouiller dans mon compte local ?
- sachant que le formulaire est dans une zone sécurisée (HTTPS), pourquoi Firefox ne me demande-t-il pas si je veux me souvenir de ces chiffres comme il me le demande gentiment pour les mot de passe ?

Heuresement y'a Outils > Effacer mes traces :)
  • # Désactiver...

    Posté par . Évalué à 3.

    Tu peux désactiver cette option dans la fenêtre de config (Outils\Options sous Win et Edition\Options sous Linux / Unix) :
    Ensuite, tu vas dans l'onglet "Formulaires", et tu décoche "Enregistrer les informations...".

    Sinon, dans la fenêtre d'options, tu cliques sur le bouton "paramètres" tout en bas, tu coche les trucs à effacer, puis tu lui dis d'effacer tes traces à chaque fermture de Firefox.

    Par contre, en cas de plantage, je sais pas ce qu'il fait réellement...

    Perso, je n'utilise jamais cette option.
    • [^] # Re: Désactiver...

      Posté par (page perso) . Évalué à 0.

      je crois pas me tromper en disant que firefox n enregistre normallement PAS les formulaires sur les pages securisées (https)...

      a toi de voir ce que tu fais apres...
      • [^] # Re: Désactiver...

        Posté par (page perso) . Évalué à 2.

        Je viens de poster un journal en https sur linuxfr, et si je retourne poster un journal, je clique sur le champ titre du journal, et le titre que je viens de tapper apparaît dans la liste.

        Donc, je dirais que si, firefox enregistre les entrées de formulaires même en HTTPS (et j'ai déjà eu le coup où firefox m'a rentré tout seul mon no de CB sur un site de payment en ligne. Je suis allé l'effacer à la main dans ~/.mozilla/firefox/*/formhistory.dat).
  • # Fnac

    Posté par . Évalué à 3.

    Tu es sur que ce n'est pas une 'fonctionnalité' offerte par la fnac ?
    Je me souviens que la seule fois où j'ai commandé chez eux je suis allé supprimer mon numéro de CB dans mon compte fnac après.
    • [^] # Re: Fnac

      Posté par . Évalué à 1.

      Idem, et c'était pas avec NitotFox pour moi...
      Tres chiant d'ailleurs cette 'feature'
    • [^] # Re: Fnac

      Posté par . Évalué à 1.

      J'ai constaté le même phénomène sur un achat en ligne chez LDLC, ca m'a fait bien peur sur le coup.
    • [^] # Re: Fnac

      Posté par . Évalué à 4.

      Non non firefox enregistre bien le numero de carte bleu ...
      Il enregistre ca comme n'importe quelle information de formulaire.
      • [^] # Re: Fnac

        Posté par . Évalué à 1.

        Pour avoir fait plusieurs fois des achats en ligne sur les mêmes sites, je n'ai jamais constaté ce phénomène. Par contre, j'ai remarqué que FF ne sauvegardait pas les mots de passes sur des pages SSL. Est ce que les pages de la fnac sont bien en SSL ? (j'utilise FF 1.0.8, le seul le vrai, pas cette booze de 1.5)
        • [^] # Re: Fnac

          Posté par . Évalué à 2.

          le seul, le vrai, celui qui n'a meme pas d'historique et n'est pas meme capable de gerer correctement un target="_blank"?
          troll spotted.
        • [^] # Re: Fnac

          Posté par . Évalué à 3.

          Ouais mais le système qui sauvegarde le mot de passe n'a rien a voir avec celui qui sauvegarde les entrées de formulaire.
  • # Server-side

    Posté par (page perso) . Évalué à 4.

    Certain sites sont programmés, coté serveur, pour rendre cette fonction (*) inutile : Le nom ("id" et/ou "name") des formulaires et champs est généré aléatoirement à chaque rafraichissement de la page. Le navigateur est ainsi incapable de préremplir le formulaire !

    Technique à avoir en tête lorsque l'on programme un site exigeant un minimum de sécurité et que l'on pense un peu à protéger la vie privée de l'utilisateur...

    (*) Je parle de la mémorisation des champs par les navigateurs.
    • [^] # Re: Server-side

      Posté par . Évalué à 7.

      reste que se faire chier à contourner les défauts des clients mal-branlés côté serveur est probablement le meilleur moyen de rendre ces défauts éternels, tout en laissant les utilisateurs dans la plus totale ignorance à la fois du risque et des défauts de leurs logiciels favoris.

      Les logiciels libres ne sont pas plus exempts de défauts que les propriétaires : mais leurs developpeurs dépendent bien plus des bug reports et de problèmes reproductibles. Masquer ou contourner les problèmes n'est donc probablement pas rendre service au logiciel dont on masque les défauts, ni à ses utilisateurs.

      Il est donc légitime de chercher à être bug-for-bug compatible IE, mais pas nécessairement Firefox :-))
    • [^] # Re: Server-side

      Posté par . Évalué à 6.

      Cela ne sert pas à grand chose de changer le nom des champs si ce n'est évité que quelqu'un utilise la session d'un autre utilisateur.
      Mais le numéro de la carte bancaire, par exemple, au lieu d'être stocké une fois pour une page dans le champs num_carte va être stocké de multiple fois dans divers champs num_547575, num_454545 ....

      Je ne suis pas sûr que le niveau de sécurité ne soit grandement augmenté à moins que le tout soit stocké chiffré !!!
  • # my 2 cents

    Posté par . Évalué à 3.

    il doit se baser sur le nom du champ du formulaire ou le couple nom du form/nom du champ, parce que je retrouve souvent des valeurs sur certains sites que je n'ai jamais visite (typiquement, des trucs du genre user_id, login ou ce genre de conneries)

    Sinon, effectivement, ya des sites qui enregistrent le numero de CB et le ressortent quand tu repasse (voire le ressorte modifier, ie juste les 4 premiers chiffre en clair, le reste etant des etoiles)
    • [^] # Re: my 2 cents

      Posté par (page perso) . Évalué à 2.

      Tout à fait d'accord, j'ai le même comportement avec konqueror.
      Et c'est d'ailleurs bien pratique quand je veux déposer un commentaire sur un blog qui demande souvent login/mail, ces deux champs se remplissent automatiquement (juste à taper la première lettre).

      Pour le fait de demander si les champs doivent être sauvegardés dans une session HTTPS, je ne suis pas d'accord, ça deviendrait lourd. Tous les sites en HTTPS ne sont pas forcément des sites avec des champs de formulaire sensible, comme linuxfr par exemple ;-) .
  • # Meme fonctionnalité pour Epiphany

    Posté par (page perso) . Évalué à 1.

    Je cherche absolument à avoir la meme fonctionnalité pour epiphany, au taf, ça me serait super utile.

    Savez vous si c'est possible ?
  • # Sur le site de ma banque pareil

    Posté par . Évalué à 3.

    Ca me fait pareil quand je m'authentifie sur le site de ma banque. On doit rentrer son numéro de compte puis un mot de passe. Et Firefox me ressort toujours mon numéro de compte en entier dans le champs dès que je tape le premier numéro.
    C'est une page sécurisée pourtant (https), ca serait bien que Firefox n'enregistre pas ces informations quand c'est ce genre de page.

    Par contre sur le site pour faire mes courses en lignes, Firefox ne me ressort jamais mon numéro de carte bleu.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.