Come posso sapere se i visitatori del mio sito Web utilizzano LastPass o altri gestori di password?

21

Voglio assicurarmi che i visitatori del mio sito Web abbiano la migliore esperienza possibile, quindi voglio che possano usare LastPass e altri gestori di password.

Esiste un modo per identificare se i miei visitatori utilizzano o meno uno di questi plugin?

— cgarvey
fonte

19

Qual è la tua idea sul "supporto specifico" di questi plugin ...? Cosa pensi richieda supporto esplicito?

— ingannare il

1

Domanda correlata sulla sicurezza delle informazioni : le pagine Web possono riconoscere che ho salvato la mia password?

— unor

1

L'idea alla base di ciò è che agli utenti piace usare gli strumenti di completamento automatico dei moduli e LastPass è abbastanza bravo in questo. Mi da fastidio quando visito un sito Web che richiede la compilazione di moduli significativi, ad esempio siti Web di prenotazione di hotel, siti Web di compagnie aeree, ecc ... e lo sviluppatore web non si è preoccupato di verificare se i loro moduli possono essere compilati o meno da LastPass e strumenti simili. Ad essere sinceri, ho appena capito che questo non era immediatamente evidente nella domanda, ma la sicurezza non era la motivazione principale dietro questo commento.

— cgarvey,

Penso che in un mondo ideale, vorrei poter controllare il mio strumento di analisi e vedere quanti dei miei visitatori hanno compilato manualmente i moduli e quanti utilizzati e l'estensione del browser. Da qui la domanda.

— cgarvey,

13

Sì.

Gli utenti possono installare LastPass come plugin del browser. Pertanto, puoi fare affidamento sui linguaggi di scripting lato client per verificare se LastPass è installato.

Ad esempio, l'utilizzo NavigatorPlugins.pluginsconsente di ottenere un PluginArrayoggetto, elencando i plugin installati nell'applicazione:

function getLastPassVersion() {
  var lastpass = navigator.plugins['LastPass'];
  if (lastpass === undefined) {
    // LastPass is not present
    return undefined;
  }
  return lastpass.version;
}

Nota anche che ciò che stai chiedendo è comunemente implementato e utilizzato dalle tecnologie di fingerprinting del browser .

— Billal Begueradj
fonte

Beh, preferirò sempre dire cose che non hai detto, altrimenti tutto ciò che dico sarebbe ridondante, no? ;) Tuttavia, quando hai rimosso le cose a cui mi riferivo, i miei commenti sono diventati discutibili (o almeno ora penzolano a mezz'aria)

— Hagen von Eitzen,

1

Non funziona affatto: /

— Mardzis

@Mardzis Effettivamente. MDN segnala che il browser limita l'accesso navigator.pluginso restituisce risultati falsi per proteggere la privacy: developer.mozilla.org/en-US/docs/Web/API/NavigatorPlugins/…

— Dai

46

Esiste un modo per identificare se i miei visitatori utilizzano o meno uno di questi plugin e come supportarlo al meglio?

Di gran lunga il modo migliore per supportare i gestori di password è utilizzare <form>tag normali e un modulo normale. Se non fai nulla di intelligente, allora il gestore delle password farà il suo lavoro.

— dotancohen
fonte

8

Per aggiungere a questo: prova con il gestore di password integrato nel browser. Se funziona, è molto probabile che funzionino anche le soluzioni di terze parti.

— Kevin,

6

Sono d'accordo, ma ho notato un numero crescente di siti Web che utilizzano framework angolari e altri con forme estremamente complicate che non funzionano con LastPass. Ironia della sorte, questi siti web tendono ad essere quelli su cui gli utenti vogliono veramente utilizzare gli strumenti di completamento automatico, ad esempio prenotazioni di compagnie aeree, ecc.

— cgarvey,

1

Nota che alcuni gestori di password simulano la pressione dei tasti anziché l'installazione di un plug-in nel browser. Quindi non è necessariamente il caso che se il gestore di password integrato funziona anche il gestore di password funzionerebbe. In questi casi, di solito dovresti assicurarti che la navigazione delle schede funzioni correttamente.

— Lie Ryan,

3

La maggior parte di questi gestori di password sono basati su plug-in del browser e funzionano popolando i campi del modulo e attivando l'invio di un modulo come se l'ueer avesse premuto il pulsante di invio, al server appare come un normale invio di modulo, non c'è modo di sapere se proviene da un gestore password.

— Chris Rutherfurd
fonte

2

È possibile utilizzare Javascript per rilevare la velocità di digitazione nei campi nome utente / password. Un tasso variabile suggerisce che qualcuno lo sta digitando manualmente mentre un tasso costante o addirittura nessuna pressione di tasti (copia-incolla) significa che qualcuno sta usando un gestore di password.

— André Borie
fonte

Quindi, se ho LastPass, ma non riesco a rilevare il campo di accesso e scrivo manualmente, non ho LastPass?

— Stephan Bijzitter l'

Alcuni gestori di password copiano le paste, altri simulano i tasti premuti e ci sono anche quelli che entrano nel DOM e riempiono direttamente il modulo. Inoltre, alcuni utenti potrebbero digitare la password nel blocco note, quindi copiare le paste, in modo da poter vedere cosa stanno digitando nel campo della password. Non è così semplice rilevare i gestori di password.

— Lie Ryan,

2

Per rispondere alla domanda effettiva, un modo per rilevare se gli utenti utilizzano Lastpass è fornire un tipo di campo di accesso e utilizzare jQuery o simile per vedere se Lastpass ha inserito l'immagine di sfondo che inserisce nei campi di accesso che può compilare automaticamente.

Ecco un esempio di un campo di input e-mail, tutte le cose nel tag di stile sono state aggiunte da Lastpass:

<input type="text" class="form-control" id="inputEmail" placeholder="Email" style="cursor: pointer; background-image: url(&quot;data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAABAAAAASCAYAAABSO15qAAAAAXNSR0IArs4c6QAAAPhJREFUOBHlU70KgzAQPlMhEvoQTg6OPoOjT+JWOnRqkUKHgqWP4OQbOPokTk6OTkVULNSLVc62oJmbIdzd95NcuGjX2/3YVI/Ts+t0WLE2ut5xsQ0O+90F6UxFjAI8qNcEGONia08e6MNONYwCS7EQAizLmtGUDEzTBNd1fxsYhjEBnHPQNG3KKTYV34F8ec/zwHEciOMYyrIE3/ehKAqIoggo9inGXKmFXwbyBkmSQJqmUNe15IRhCG3byphitm1/eUzDM4qR0TTNjEixGdAnSi3keS5vSk2UDKqqgizLqB4YzvassiKhGtZ/jDMtLOnHz7TE+yf8BaDZXA509yeBAAAAAElFTkSuQmCC&quot;); background-attachment: scroll; background-size: 16px 18px; background-position: 98% 50%; background-repeat: no-repeat;" autocomplete="off">

Questo potrebbe non essere il modo più efficace per rilevare se un utente sta usando Lastpass, ma sicuramente funziona :)

— Keith M
fonte

2

Ti piace pensare dietro questa soluzione, ma non presume che almeno un campo in un modulo possa essere popolato da LastPass? Il sito web che ho visitato che mi ha spinto a porre questa domanda utilizzava un modulo angolare e LastPass non è riuscito a identificare un singolo campo su di esso. Un caso limite per essere sicuro, ma non l'ultimo che vedrò penso.

— cgarvey,