Почему в браузере не хранятся личные данные. Как запомнить логин и пароль Почему не запоминается логин и пароль
Раз уж подняли эту тему, хочется напомнить о том, как улучшить реализацию стандартной функции remember-me.
Оба предложенных ранее варианта не учитывают один важный момент, что, если token будет похищен? При обычной реализации аутентификации через remember me token, атакующий, получив такой токен, получит доступ к сайту на неограниченное время, а жертва даже не узнает о факте хищения…
Что же делать?
Barry Jaspan предложил улучшенный вариант remember-me аутентификации.Вкратце, добавляется еще один тип токена - series. Генерировать его нужно случайно, можно так же, как и обычный token. Главное отличие его от токена, это то, что он не меняется после успешной аутентификации через токен.
Таблица для хранения:
CREATE TABLE test.one_time_auth(token CHAR (32),
series CHAR (32),
user_id INT (11) UNSIGNED NOT NULL,
expire DATETIME DEFAULT NULL,
PRIMARY KEY (series))
ENGINE = INNODB
И класс с примером
setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
$auth = new one_time_auth($db);
list($token, $series) = $auth->remember(10, null, "2010-12-31");
$user_id = $auth->remind($token, $series);
list($token, $series) = $auth->remember(10, $series, "2010-12-31");
$user_id = $auth->remind($token, $series);
echo $user_id;
list($token, $series) = $auth->remember(10, $series, "2010-12-31");
try {
$user_id = $auth->remind("wrongone", $series);
} catch (ThiefAssumedException $e) {
echo "We think your cookie was stolen. Please, log in again.";
}
$user_id = $auth->remind("wrongone", "wrongone"); // do nothing
class ThiefAssumedException extends Exception {}
class one_time_auth
{
/**
* @var PDO
*/
private $db;
public function __construct(PDO $db)
{
$this->db = $db;
}
public function remember($user_id, $series = null, $expire = null)
{
$sql = "INSERT INTO one_time_auth (token, series, user_id, expire) VALUES (:token, :series, :user_id, :expire)";
$stmt = $this->db->prepare($sql);
while (true) {
try {
$stmt->execute(array(":token" => $token = $this->generateToken(),
":series" => $series = $series == null ? $this->generateToken() : $series,
"user_id" => $user_id,
"expire" => $expire));
break;
} catch (PDOException $e) {}
}
return array($token, $series);
}
public function remind($token, $series)
{
$sql = "SELECT user_id, token
FROM one_time_auth
WHERE series = :series
AND (expire IS NULL OR expire >= NOW())
LIMIT 1";
$stmt = $this->db->prepare($sql);
$stmt->execute(array("series" => $series));
if ($row = $stmt->fetch()) {
if ($row["token"] != $token) {
$stmt = $this->db->prepare("DELETE FROM one_time_auth WHERE user_id = :user_id");
$stmt->execute(array("user_id" => $row["user_id"]));
throw new ThiefAssumedException();
}
$stmt = $this->db->prepare("DELETE FROM one_time_auth WHERE series = :series");
$stmt->execute(array("series" => $series));
return $row["user_id"];
}
}
private function generateToken()
{
return md5(uniqid("", true));
}
}
Как это работает?
У пользователя в куках сохраняются token и series, скрипт сверяет их с теми, что предоставлены в базе данных. Если они совпадают, то аутентификация успешна. Пользователь получает новый token с предыдущим series. Если token разный, а series один и тот же, то удаляем все remember-me записи для этого аккаунта и сообщаем пользователю о том, что, возможно, его токен был похищен.Ps: это не готовое решение, а пример.
Я уже рассказывал о том, каким должен быть пароль, а в числе прочего обращал ваше внимание на то, что нельзя использовать одинаковые пароли на разных сайтах.
Но как быть, если мы проводим в интернете много времени и постоянно регистрируемся на различных форумах и сайтах? Ведь в этом случае количество логинов и паролей будет постоянно расти, и запомнить их будет просто нереально.
Каждый пользователь рано или поздно сталкивается с проблемой запоминания паролей и каждый решает эту проблему по-своему.
В этом уроке я расскажу об одном из способов сохранения паролей, который доступен абсолютно всем и не требует установки и освоения дополнительных программ.
Речь пойдет о функции запоминания паролей (менеджер паролей), которая есть практически в каждом современном браузере. Задача такого менеджера не просто помнить пароль (и логин), но также запоминать сайт, с которым данный пароль (и логин) связан.
Таким образом, при посещении сайта, на котором требуется регистрация, мы всего один раз вводим свои регистрационные данные и сохраняем их в браузере, а потом (при последующих посещениях этого сайта) браузер сам подставляет сохраненные данные, избавляя нас от их запоминания и ручного ввода.
Давайте разберём, как это делается в браузере Opera , а в конце урока коснемся и других браузеров.
Итак, прежде всего надо проверить включена ли данная функция. Для этого заходим в настройки браузера (Opera – Настройки – Общие настройки ) и на вкладке Формы проверяем, чтобы была установлена галочка Включить управление паролями :
После этого нажимаем Ok и можем приступать к запоминанию паролей.
К примеру, давайте зайдем на где введём свои данные (логин и пароль), которые мы использовали при на данном форуме:
После того как данные введены в соответствующие поля, нажимаем кнопку Вход и видим всплывающее окно:
Теперь, если в какой-то момент от нас потребуется ввести логин и пароль для входа на этот форум мы увидим, что поля для ввода данных будут подсвечены, а кнопка с ключом будет активна:
Это говорит о том, что менеджер помнит данные для этого сайта и готов к работе.
В такой ситуации нам достаточно поставить курсор в самое первое поле для ввода данных и нажать на кнопку с ключом (или комбинацию клавиш Ctrl + Enter ). Наши данные тут же будут вставлены в нужные поля, и мы автоматически войдем на форум под своим логином.
Если мы не хотим чтобы браузер сохранял пароль для данного сайта и в дальнейшем не предлагал его сохранять, то ставим галочку Запомнить и нажимаем кнопку Никогда :
В этом случае информация о таком сайте тоже будет сохранена (правда это уже будут не регистрационные данные).
Если нажать кнопку Готово , то пароль не будет сохранен, но при следующем входе на данный сайт браузер снова покажет всплывающее окно с предложением сохранить пароль.
Здесь вроде бы всё понятно!
Однако теперь давайте представим ситуацию, когда мы поменяли пароль на каком-то из сайтов, но наш браузер на этом сайте постоянно подставляет старый пароль (который он помнит).
Другая ситуация: мы решили разрешить браузеру запоминать данные на сайте, находясь на котором ранее нажали кнопку Никогда (см. выше) и теперь браузер никогда не показывает нам всплывающее окно для сохранения пароля.
Как быть в таких ситуациях?
На самом деле здесь тоже нет ничего сложного - достаточно просто удалить из менеджера паролей все данные о данном сайте.
Для этого опять входим в настройки браузера и нажимаем кнопку Пароли… :
Таким образом, мы убрали из менеджера информацию об этой странице и теперь при следующем входе на данный сайт снова увидим наше всплывающее окно, в котором можем повторить (или изменить) выбор.
В других браузерах тоже есть свои менеджеры паролей, и даже если они несколько отличаются друг от друга, смысл их использования всё равно остается тот же.
В Firefox это выглядит так:
А управление паролями в Firefox находится в настройках (Firefox – Настройки – Настройки ) на вкладке Защита :
В Chrome всплывающее окно выглядит так:
Чтобы увидеть управление настроек в Chrome в окне настроек надо включить отображение дополнительных настроек:
После чего мы увидим интересующие нас настройки:
Кстати, в Chrome можно даже увидеть все свои пароли, если нажать Управление сохраненными паролями , а в следующем окне нажать кнопку Показать :
Такая возможность может оказаться удобной, для того чтобы быстро вспомнить свой пароль, но может и сыграть на руку злоумышленнику, если он получит доступ к вашему браузеру.
В заключение урока хочу предупредить, что встроенный в браузер менеджер паролей не является надежным хранилищем и его следует воспринимать скорее как удобное средство для ввода паролей на сайтах и форумах, которые не очень важны. К примеру, я не рекомендовал бы хранить пароли в браузере, если эти пароли используются для входа в платежные системы или в аккаунты Интернет-банкинга.
Кроме того, при сбоях в работе браузера и последующей его переустановке мы можем потерять все пароли, которые в нём хранятся, поэтому на всякий случай необходимо дублировать такие пароли, чтобы в любой момент у вас была возможность восстановить их.
Почему не сохраняются пароли в браузере?
При активном использовании интернета, мы привязываемся к нашим браузерам, так как храним в них всю необходимую информацию.
Помимо вкладок и форм автозаполнения, многие сохраняют пароли, так как это удобно при использовании разных сайтов. Но что делать, если браузер не сохраняет пароли?
Почему не сохраняются пароли в браузере? Скорее всего, у вас просто отключена эта функция в настройках. На некоторых сайтах установлены скрипты, чтобы пароли и логины не сохранялись, но встречаются такие ресурсы крайне редко.
Если и у вас не сохраняются пароли в браузере, воспользуйтесь нашими инструкциями.
Как сделать, чтобы пароли сохранялись в браузере?
1. Google Chrome.
После входа в настройки браузера откройте дополнительные параметры и найдите пункт «Пароли и формы». Здесь вам нужно поставить галочку напротив предложения сохранения паролей:
2. Mozilla FireFox.
В настройках Мозилы тоже есть функция хранения данных для авторизации, которую можно включать и отключать. Управлять ей можно через настройки, на вкладке «Защита»:
3. Opera.
Настроить сохранение паролей в Опере также просто. Для этого отправляйтесь в настройки программы, потом нажимайте «Безопасность» и ставьте галочку напротив специального пункта:
4. Intenet Explorer.
Чтобы применить сохранение паролей в этом браузере, вам необходимо зайти не в настройки, а в свойства обозревателя. Выбирайте вкладку содержимое, переходите к настройкам м ставьте галочку:
В каждой браузерной платформе можно включать и отключать сохранение данных для авторизации.
Если вы пользуетесь обозревателем, которого нет в нашем списке, то лучше удалите его и поставьте Google Chrome, после многочисленных тестов было доказано, что этот браузер является самым безопасным и обладает всеми необходимыми функциями.
Firefox includes a Password Manager that can save the passwords you use to log in to websites. This article describes why your passwords might not be saved.
- For a general overview of using the Password Manager to save website passwords, see Password Manager - Remember, delete, change and import saved passwords in Firefox .
- For information on the Master Password feature, which is used to protect your private information, see Use a Master Password to protect stored logins and passwords .
Table of Contents
Password Manager settings
Firefox will remember passwords by default. You may have disabled this feature, or told Firefox to never remember passwords for a particular site.
Now that you"ve configured Firefox to remember passwords, try logging in to the site again.
Private Browsing
Remember Password prompt is not displayed
Some graphics driver versions may have problems to display prompts. To see if this applies to you, follow the steps in Troubleshoot extensions, themes and hardware acceleration issues to solve common Firefox problems .
Websites prohibit password saving
Some websites do not allow for passwords to be saved for security reasons. If you have followed the steps above, but are still not prompted to save a password when logging in to a certain website, that site may have disabled password saving.
//На многие сайты нам требуется заходить с авторизацией, вводя комбинацию логин/пароль. Делать это каждый раз, конечно же, неудобно. Во всех современных браузерах, в том числе и в Яндекс.Браузере, есть возможность запомнить пароль для разных сайтов, чтобы не вводить эти данные при каждом входе.
По умолчанию в браузере включена функция сохранения паролей. Однако если она у вас вдруг отключена, то браузер не будет предлагать сохранять пароли. Чтобы снова включить эту возможность, зайдите в «Настройки »:
В нижней части страницы нажмите на кнопку «Показать дополнительные настройки »:
В блоке «Пароли и формы » установите галочку рядом с пунктом «Предлагать сохранять пароли для сайтов », а также рядом с «Включить автозаполнение форм одним кликом ».
Теперь каждый раз, когда вы будете входить на сайт впервые, либо после очистки браузера, в верхней части окна будет появляться предложение сохранить пароль:
Сохранение нескольких паролей для одного сайта
Допустим, у вас есть несколько учетных записей от одного сайта. Это может быть два или более профиля в социальной сети или два почтовых ящика одного хостинга. В случае, если вы ввели данные от первой учетной записи, сохранили их в Яндексе, вышли из учетной записи и то же самое сделали с данными второй учетной записи, то браузер предложит сделать выбор. В поле с логином вы будете видеть список ваших сохраненных логинов, и когда вы выберите нужный, то браузер автоматически подставит в поле с паролем сохраненный ранее пароль.
Синхронизация
Если вы включите авторизацию своей учетной записи Яндекс, то все сохраненные пароли окажутся в надежном зашифрованном облачном хранилище. И когда вы авторизуетесь в Яндекс.Браузере на другом компьютере или смартфоне, все ваши сохраненные пароли тоже будут доступны. Таким образом, вы сможете сохранять пароли на нескольких компьютерах сразу и быстро заходить на все сайты, где вы уже зарегистрированы.
