Chrome: perché vengo autenticato automaticamente su un'app Web anche dopo aver cancellato i cookie del browser?

13

Sto accedendo ad un'applicazione Web usando Chrome. Se esco dall'app e deseleziono tutta la cronologia / i cookie / ecc. Di Chrome (anche i cookie Flash che sono ora gestiti da Chrome nella stessa area Cancella cronologia) e quindi accedo nuovamente al sito, accedo automaticamente senza che mi venga richiesto credenziali.

Ho quindi avviato Chrome in modalità di navigazione in incognito e sono stato in grado di riprodurre lo stesso comportamento. Tuttavia , l'Sono stato spinto sul primo accesso in modalità di navigazione in incognito.

L'applicazione Web si comporta come previsto in Internet Explorer 10.

Alcune informazioni sull'applicazione:

  • È un sito Sharepoint che utilizza l'autenticazione NTLM
  • Le credenziali sono basate su Active Directory, poiché il nome utente è dominio \ nomeutente
  • La mia connessione avviene tramite Internet e non esiste alcuna relazione AD tra il mio account Windows locale, il mio PC Windows. In altre parole, I (ovvero il mio utente connesso localmente e il mio PC) non fanno in alcun modo parte del loro dominio AD.
  • Il sito esegue SSL sulla porta 443

Perché Chrome potrebbe autenticarmi automaticamente?

google-chrome  security  browser  internet-explorer  authentication 
Howiecamp
fonte
Se utilizza AD, probabilmente non utilizza l'autenticazione HTTP di base. Se hai già autenticato le tue credenziali AD è probabilmente il motivo per cui Chrome non ti sta chiedendo di ripetere l'autenticazione.
Ramhound,
@Ramhound - Buona cattura. Ho verificato con gli strumenti F12 che utilizza l'autenticazione NTLM. Ma in ogni caso, come mi ricorda il sito se sto cancellando tutti i cookie del browser? C'è ancora bisogno di un meccanismo di sessione per determinare che io sono la stessa persona di prima. Anche solo per chiarire, la mia unica autenticazione è tramite il browser, ad esempio non eseguo l'autenticazione in altro modo con il loro dominio e non esiste alcuna relazione tra la mia macchina e il loro dominio.
Howiecamp,
@Ramhound - Inoltre non dimenticate che IE è mi spingendo di nuovo.
Howiecamp,
Usa Fiddler o Wireshark per vedere se sta eseguendo l'autenticazione Kerberos / SPNEGO automatica con le tue credenziali di accesso (cerca www-authentication:intestazione HTTP, ecc.). Potrebbe essere la memorizzazione nella cache del login in base a IP o qualcosa del genere. Questo è davvero un problema che devi eseguire il debug sul lato server, ma almeno dal lato client sarai in grado di vedere che tipo di autenticazione (se presente) sta facendo in una sessione pulita e quali informazioni (se presenti) il browser sta inviando al sito remoto.
allquixotic,
1
It's a Sharepoint site using NTLM authentication- L'intero punto dell'autenticazione NTLM è che non ti viene richiesta l'autenticazione. Le tue credenziali vengono passate automaticamente. Se desideri autenticarti come un altro utente, riavvia il browser ed eseguilo come un altro utente.
Zoredache,

Risposte:

5

Ho lo stesso problema. Prima accedevo a un sito Web con le credenziali e ora non riesco ad accedere con nessun altro. Quando mi disconnetto e provo ad accedere di nuovo, Chrome inserisce automaticamente l'intestazione di autorizzazione senza chiedere. Il sito utilizza il database degli utenti locali (nessun file AD ma semplice .htpasswd) e utilizza l'autenticazione di base.

Ho già provato a pulire tutti i cookie e le password salvate. Senza fortuna. E questo accade solo su Chrome e solo su un PC (su altri PC in Chrome con il mio account Google funziona correttamente e richiede credenziali dopo l'accesso)

Ho trovato una soluzione alternativa al problema, poiché il mio obiettivo principale era l'autenticazione come utente diverso. Ho eseguito il Fiddler e abilitato i punti di interruzione lì. Quindi, su richiesta con intestazione di autorizzazione, ho forzato la risposta 401 e quindi ho fatto apparire la finestra di autenticazione. Quindi ho fornito le credenziali necessarie e il mio problema è stato risolto.

Tuttavia, non risponde alla domanda in cui sono archiviate tali credenziali

Ralfeus
fonte
2

Quel sito sta probabilmente usando l'archiviazione locale [1] [2] che è come i cookie per HTML5.

È stato chiesto come cancellare l'archiviazione locale, ma sfortunatamente Chrome attualmente non include l'archiviazione locale nella finestra di dialogo Cancella dati di navigazione . Nel frattempo, puoi farlo manualmente eliminando i file corrispondenti a quel sito nella Local Storagecartella della tua directory dei dati utente .

Synetech
fonte
0

Deseleziona "Continua a eseguire app in background quando Google Chrome è chiuso" nelle impostazioni di Chrome e cancella i dati del browser.

Fergara
fonte
0

Questo non risponde alla domanda, ma è una soluzione per cambiare le credenziali:

  1. Vai a Opzioni Internet
  2. Fai clic sulla scheda Sicurezza
  3. Fai clic sulla tua ipotesi migliore per la zona che ritieni possa essere presente nel sito Web. Per me, stavo usando le credenziali sbagliate su un sito Intranet di lavoro e i miei amministratori di dominio avevano automaticamente aggiunto l'URL a "Intranet locale". Non avevo il permesso di modificare "siti", potrei almeno guardare.
  4. Per quella zona, fai clic su "Livello personalizzato ..."
  5. Scorri fino in fondo e scegli "Richiedi nome utente e password"
  6. Fai clic su "OK" per salvare
  7. Riavvia Chrome in modo che rilevi le nuove impostazioni
  8. Passare direttamente al sito Web in questione.
    Inizialmente mi è stato richiesto il sito Web principale della Intranet (la mia home page) e ho inserito le mie credenziali. Quindi ho fatto clic su un collegamento per il sito in questione, che ha lo stesso dominio, ma un sottodominio diverso. Non mi è stato richiesto di nuovo. Ho riavviato di nuovo Chrome, cancellato dal primo prompt e quando ho navigato direttamente all'URL in questione, ho ricevuto un prompt e sono stato in grado di modificare le mie credenziali per quel sito.
  9. Dopo aver eseguito correttamente l'autenticazione con l'account "corretto", è possibile ripristinare le impostazioni per l'accesso automatico, poiché Chrome ora conosce le credenziali più recenti.

Il merito dell'idea va a https://sysadminspot.com/windows/google-chrome-and-ntlm-auto-logon-using-windows-authentication/

emragins
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.