אינטרנט ישראל
  • ראשי
  • אודות רן בר-זיק ואינטרנט ישראל
  • ערוץ טלגרם
  • מסטודון
  • התחברו אלי בטוויטר
  • התחברו אלי בלינקדאין
  • ספר ג'אווהסקריפט
  • ראשי
  • אודות רן בר-זיק ואינטרנט ישראל
  • ערוץ טלגרם
  • מסטודון
  • התחברו אלי בטוויטר
  • התחברו אלי בלינקדאין
  • ספר ג'אווהסקריפט
ראשי » פיתוח אינטרנט » פתרונות ומאמרים על פיתוח אינטרנט » בטיחות בשדה input

בטיחות בשדה input

רן בר-זיק יולי 31, 2011 7:43 am אין תגובות

תכונה קטנה וחשובה שיש להוסיף לכל שדה input על מנת למנוע autocomplete ולסגור חור אבטחה חשוב במיוחד.

כדאי תמיד להשאר מעודכנים! אם יש לכם טלגרם, בדקו את ערוץ הטלגרם של האתר שבו אני מעדכן על פוסטים חדשים 🙂 אם אתם רוצים ללמוד תכנות באופן מקיף ומסודר, הצטרפו לאלפי הלומדים בפרויקט "ללמוד ג'אווהסקריפט בעברית" שמלמד לתכנת בג'אווהסקריפט, ב-Node.js ובריאקט וגם מלמד על תרומה לקוד פתוח. גם ספרים דיגיטליים וגם ספרים מודפסים. בשיתוף הקריה האקדמית אונו ובתמיכת חברות מובילות כגון Wix, Outbrain, Elementor, Iron Source, Chegg, Really Good ועוד.

זה פוסט קצר ומשמעותי על תכונה שחייבים להכניס לתוך טופס כאשר לתוך הטופס מוקלדים פרטים חשובים שעדיף שלא יהיו על המחשב. למשל:

  • כרטיס אשראי
  • מספר CVV
  • תוקף כרטיס אשראי
  • מספרי תעודת זהות
  • תשובות לשאלות המאחזרות סיסמה

לרוב הדפדפנים המודרניים, יש תכונה של Autocomplete שמופעלת כמעט באופן אוטומטי, הדפדפן בעצם מאחסן את הנתונים שהקלדנו בכל טופס על מנת לאחזר אותם בשלב מאוחר יותר כדי לחסוך לנו זמן הקלדה.

דוגמה למילוי אוטומטי

הדפדפן משתמש ב-name וב-id על מנת לדעת איזה נתון לאחזר. בעוד שברוב המקרים טוב וכדאי להשתמש בשמות אחידים על מנת שהמשתמש יוכל לאחזר את הנתון בקלות, במקרים הנ"ל עדיף מאד מאד שלא לעשות כן ולמנוע כליל את האחסון של הנתונים.

המנעות מכך היא חד משמעית רשלנות והפקרת המשתמש באתר שלכם – כיוון שאת הנתונים שנמצאים ב-autocomplete קל לגנוב! אם המשתמש הכניס את כרטיס האשראי שלו באתר שלכם ובטעות השדה הוגדר כשדה שמאפשר autocomplete, גם אם הטופס סופר מאובטח ב-SSL, ניתן לגנוב בקלות את מספר כרטיס האשראי של הגולש והאחריות תהיה כולה על המתכנת.

ההמנעות היא פשוטה למדי, פשוט להוסיף autocomplete="off לכל שדה input המכיל מידע רגיש ובכך למנוע את ה-autocomplete. למשל:


<input autocomplete="off" name="cvv2" id="cvv2" type="text" />

פעולה קטנה אך חשובה זו תמנע מהדפדפן (כל דפדפן) לאחסן את הנתונים שהוקלדו בשדה הזה וכמובן תחסוך מהמשתמשים שלכם עוגמת נפש ומכם סיכונים מיותרים.

כדאי תמיד להשאר מעודכנים! אם יש לכם טלגרם, בדקו את ערוץ הטלגרם של האתר שבו אני מעדכן על פוסטים חדשים 🙂 אם אתם רוצים ללמוד תכנות באופן מקיף ומסודר, הצטרפו לאלפי הלומדים בפרויקט "ללמוד ג'אווהסקריפט בעברית" שמלמד לתכנת בג'אווהסקריפט, ב-Node.js ובריאקט וגם מלמד על תרומה לקוד פתוח. גם ספרים דיגיטליים וגם ספרים מודפסים. בשיתוף הקריה האקדמית אונו ובתמיכת חברות מובילות כגון Wix, Outbrain, Elementor, Iron Source, Chegg, Really Good ועוד.
HTML

השארת תגובה

ביטול

ללמוד ג'אווהסקריפט בעברית

ללמוד לתכנת ג'אווהסקריפט בעברית שגייס יותר משלוש מאות אלף שקל ולמעלה מ-2000 תומכים - בואו ללמוד עכשיו איך לתכנת.

רשימת הנושאים
  • מדריכים
    • ריאקט
    • טייפסקריפט
    • ECMAScript 6
    • ES20XX
    • Node.js
    • Express
    • רספברי פיי
    • Babel
    • docker
    • MongoDB
    • Git
    • לימוד MySQL
    • SASS
    • jQuery
    • CSS3
    • HTML 5
    • SVN
    • LESS
  • פיתוח אינטרנט
    • פתרונות ומאמרים על פיתוח אינטרנט
    • jQuery Scripts
    • jQuery למתקדמים
    • יסודות בתכנות
    • נגישות אינטרנט
  • חדשות אינטרנט
  • מידע כללי על אינטרנט
    • רשת האינטרנט
    • בניית אתרי אינטרנט
  • rss logo

    לכל המאמרים

    לכל המאמרים שפורסמו באינטרנט ישראל משנת 2008 ועד עכשיו.
  • rss logo

    RSS Feed

    משתמשים בקורא RSS? אם כן, עקבו אחרי אינטרנט ישראל באמצעות פיד ה-RSS!
    מה זה RSS?
  • Twitter logo

    עקבו אחרי בטוויטר

    בחשבון הטוויטר שלי אני מפרסם עדכונים מהירים על חדשות בתחום התכנות והיזמות, התרעות על מצבי חירום ורכילות בוערת על תחום הווב.
    מה זה טוויטר?
  • facebook like image

    ערוץ הטלגרם של אינטרנט ישראל

    בערוץ הטלגרם של אינטרנט ישראל אני מפרסם את הפוסטים של באתר וכן עדכונים טכנולוגיים נוספים.
    מה זה טלגרם?
  • github logo

    הפרויקטים שלי בגיטהאב

    הפרויקטים שאני כותב ושוחררו לציבור ברישיון קוד פתוח נמצאים ברובם בגיטהאב.
חיפוש

כל הזכויות שמורות לרן בר-זיק ולאינטרנט ישראל | מדיניות הפרטיות של אתר אינטרנט ישראל | אתר אינטרנט ישראל נגיש לפי תקן WCAG 2.0 AA | הצהרת הנגישות של האתר | אבטחת מידע ודיווח על בעיית אבטחת מידע

גלילה לראש העמוד