Chrome - Tại sao tôi tự động được xác thực với ứng dụng web ngay cả sau khi xóa cookie trình duyệt?

13

Tôi đang truy cập một ứng dụng web bằng Chrome. Nếu tôi đăng xuất khỏi ứng dụng và xóa tất cả lịch sử / cookie / etc của Chrome (ngay cả cookie Flash hiện được Chrome xử lý trong cùng khu vực Xóa lịch sử) và sau đó truy cập lại vào trang web, tôi sẽ tự động đăng nhập mà không được nhắc thông tin đăng nhập.

Sau đó, tôi đã khởi chạy Chrome ở chế độ Ẩn danh và có thể tái tạo hành vi tương tự. Tuy nhiên , tôi đã được nhắc đăng nhập lần đầu khi ở chế độ Ẩn danh.

Ứng dụng web hoạt động như mong đợi trong Internet Explorer 10.

Một số thông tin về ứng dụng:

Đây là trang Sharepoint sử dụng xác thực NTLM
Thông tin đăng nhập dựa trên Active Directory, vì tên người dùng là domain \ username
Kết nối của tôi qua Internet và không có mối quan hệ quảng cáo giữa tài khoản Windows cục bộ, PC Windows của tôi. Nói cách khác, tôi (có nghĩa là người dùng đã đăng nhập cục bộ trên PC và PC của tôi) không thuộc bất kỳ cách nào trong miền AD của họ.
Trang web đang chạy SSL trên cổng 443

Tại sao Chrome có thể tự động xác thực tôi?

— Howiecamp
nguồn

Nếu nó sử dụng AD thì có khả năng nó không sử dụng xác thực http cơ bản. Nếu bạn đã xác thực thông tin đăng nhập AD của mình, đó có thể là lý do Chrome không yêu cầu bạn tự động xác nhận lại.

— Ramhound

@Ramhound - Bắt tốt. Tôi đã xác minh với các công cụ F12 rằng nó đang sử dụng xác thực NTLM. Nhưng trong mọi trường hợp, trang web sẽ nhớ đến tôi như thế nào nếu tôi xóa tất cả các cookie của trình duyệt? Vẫn cần phải có một cơ chế phiên để xác định rằng tôi là người như trước đây. Ngoài ra, chỉ cần làm rõ, xác thực duy nhất của tôi là thông qua trình duyệt, ví dụ: tôi không xác thực theo bất kỳ cách nào khác với tên miền của họ và không có mối quan hệ nào giữa máy của tôi và miền của họ.

— Howiecamp

@Ramhound - Cũng đừng quên rằng IE đang nhắc tôi một lần nữa.

— Howiecamp

Sử dụng Fiddler hoặc Wireshark để xem liệu nó có thực hiện xác thực Kerberos / SPNEGO tự động với thông tin đăng nhập của bạn không (tìm www-authentication:tiêu đề HTTP, v.v.). Nó có thể được lưu trữ đăng nhập của bạn dựa trên IP hoặc một cái gì đó. Đây thực sự là một vấn đề bạn cần gỡ lỗi ở phía máy chủ, nhưng ít nhất từ phía máy khách, bạn sẽ có thể thấy loại auth (nếu có) đang hoạt động trong phiên sạch và thông tin nào (nếu có) của bạn trình duyệt đang gửi đến trang web từ xa.

— allquixotic

1

It's a Sharepoint site using NTLM authentication- Toàn bộ điểm xác thực NTLM là bạn không được nhắc xác thực. Thông tin đăng nhập của bạn sẽ tự động được thông qua. Nếu bạn muốn xác thực là một người dùng khác, hãy khởi động lại trình duyệt của bạn và chạy nó với tư cách là một người dùng khác.

— Zoredache

5

Tôi có vấn đề tương tự. Tôi đã từng đăng nhập vào một trang web có thông tin đăng nhập và bây giờ tôi không thể đăng nhập bằng bất kỳ trang web nào khác. Khi tôi đăng xuất và cố gắng đăng nhập lại, Chrome sẽ tự động đặt tiêu đề Ủy quyền mà không cần hỏi. Trang web sử dụng cơ sở dữ liệu người dùng cục bộ (không có AD nhưng tệp .htpasswd đơn giản) và sử dụng xác thực Cơ bản.

Đã thử làm sạch tất cả các cookie và lưu mật khẩu. Không may mắn. Và điều này chỉ xảy ra trên Chrome và chỉ trên một PC (trên các PC khác trong Chrome bằng tài khoản Google của tôi, nó hoạt động chính xác và yêu cầu những người đáng tin cậy sau khi đăng nhập)

Tôi đã tìm thấy một cách giải quyết cho vấn đề này vì mục tiêu chính của tôi là xác thực người dùng khác nhau. Tôi đã chạy Fiddler và kích hoạt các điểm dừng ở đó. Vì vậy, theo yêu cầu với tiêu đề Ủy quyền, tôi đã buộc phản hồi 401 và do đó làm cho cửa sổ xác thực xuất hiện. Sau đó, tôi đã cung cấp thông tin cần thiết và vấn đề của tôi đã được khắc phục.

Tuy nhiên, nó không trả lời câu hỏi mà những thông tin đó được lưu trữ

— Ralfeus
nguồn

2

Trang web đó có thể đang sử dụng bộ nhớ cục bộ ^{[1] [2]} giống như cookie cho HTML5.

Người ta đã hỏi , làm thế nào để xóa bộ nhớ cục bộ, nhưng thật không may, Chrome hiện không bao gồm bộ nhớ cục bộ trong hộp thoại Xóa dữ liệu duyệt web . Trong thời gian chờ đợi, bạn có thể thực hiện thủ công bằng cách xóa (các) tệp tương ứng với trang web đó trong Local Storagethư mục Danh mục Dữ liệu Người dùng của bạn .

— Synetech
nguồn

0

Bỏ chọn "Tiếp tục chạy các ứng dụng nền khi Google Chrome bị đóng" trong cài đặt Chrome và xóa dữ liệu trình duyệt.

— Fergara
nguồn

0

Điều này không trả lời câu hỏi, nhưng nó là một cách giải quyết để thay đổi thông tin đăng nhập:

Đi đến Tùy chọn Internet
Nhấp vào tab Bảo mật
Nhấp vào dự đoán tốt nhất của bạn cho khu vực bạn nghĩ rằng trang web có thể được theo. Đối với tôi, tôi đã sử dụng thông tin đăng nhập sai trên trang web mạng nội bộ công việc và quản trị viên tên miền của tôi đã tự động thêm URL vào "Mạng nội bộ cục bộ". Tôi hoàn toàn không có quyền chỉnh sửa "Trang web", ít nhất tôi có thể nhìn.
Đối với vùng đó, nhấp vào "Cấp tùy chỉnh ..."
Cuộn tất cả xuống dưới cùng và chọn "Nhắc tên người dùng và mật khẩu"
Nhấp vào "OK" để lưu
Khởi động lại Chrome để nó sẽ nhận các cài đặt mới
Điều hướng trực tiếp đến trang web trong câu hỏi.
Lúc đầu, tôi được nhắc đến trang web mạng nội bộ chính (trang chủ của tôi) và nhập thông tin đăng nhập của tôi. Sau đó, tôi nhấp vào một liên kết cho trang web được đề cập, có cùng một tên miền, nhưng một tên miền phụ khác. Tôi đã không được nhắc lại. Tôi đã khởi động lại Chrome một lần nữa, hủy bỏ lời nhắc đầu tiên và khi tôi điều hướng trực tiếp tới URL được đề cập, tôi đã nhận được lời nhắc và có thể thay đổi thông tin đăng nhập của mình cho trang web đó.
Khi bạn đã xác thực thành công bằng tài khoản "chính xác", bạn có thể thay đổi lại cài đặt để tự động đăng nhập, vì Chrome hiện đã biết thông tin đăng nhập mới nhất.

Tín dụng cho ý tưởng được gửi tới https://sysadminspot.com/windows/google-chrome-and-ntlm-auto-logon-USE-windows-authentication/

— emragin
nguồn