Chrome - Mengapa saya secara otomatis diautentikasi ke aplikasi web bahkan setelah menghapus cookie browser?

13

Saya mengakses aplikasi web menggunakan Chrome. Jika saya keluar dari aplikasi dan menghapus semua riwayat Chrome / cookies / etc (bahkan cookie Flash yang sekarang ditangani oleh Chrome di area Clear History yang sama) dan kemudian mengakses kembali situs tersebut, saya secara otomatis login tanpa diminta kredensial.

Saya kemudian meluncurkan Chrome dalam mode Penyamaran dan dapat mereproduksi perilaku yang sama. Namun , saya diminta masuk pertama saat dalam mode Penyamaran.

Aplikasi web berperilaku seperti yang diharapkan di Internet Explorer 10.

Beberapa info tentang aplikasi:

  • Ini adalah situs Sharepoint yang menggunakan otentikasi NTLM
  • Kredensial berbasis Active Directory, karena nama pengguna adalah domain \ nama pengguna
  • Koneksi saya melalui Internet dan tidak ada hubungan AD antara akun Windows lokal saya, PC Windows saya. Dengan kata lain saya (berarti pengguna saya yang masuk secara lokal dan PC saya) sama sekali bukan bagian dari domain AD mereka.
  • Situs ini menjalankan SSL pada port 443

Mengapa Chrome dapat mengotentikasi saya secara otomatis?

google-chrome security browser internet-explorer authentication Howiecamp
sumber
Jika menggunakan AD maka kemungkinan tidak menggunakan otentikasi http dasar. Jika Anda telah mengautentikasi kredensial AD Anda, itu kemungkinan alasan Chrome tidak meminta Anda untuk melakukan autitulis ulang lagi.
Ramhound
@Ramhound - Tangkapan yang bagus. Saya memverifikasi dengan alat F12 yang menggunakan otentikasi NTLM. Tetapi bagaimana pun, bagaimana situs ini mengingat saya jika saya menghapus semua cookie browser? Masih perlu ada mekanisme sesi untuk menentukan bahwa saya adalah orang yang sama seperti sebelumnya. Juga hanya untuk memperjelas, otentikasi saya hanya melalui browser, misalnya saya tidak mengautentikasi dengan cara lain dengan domain mereka dan tidak ada hubungan antara mesin saya dan domain mereka.
Howiecamp
@Ramhound - Juga jangan lupa bahwa IE adalah mendorong saya lagi.
Howiecamp
Gunakan Fiddler atau Wireshark untuk melihat apakah ia melakukan otentikasi Kerberos / SPNEGO otomatis dengan kredensial login Anda (lihat www-authentication:header HTTP, dll.). Mungkin caching login Anda berdasarkan IP atau sesuatu. Ini benar-benar masalah yang perlu Anda debug di sisi server, tetapi setidaknya dari sisi klien Anda akan dapat melihat jenis auth (jika ada) apa yang dilakukan pada sesi bersih, dan informasi apa (jika ada) browser mengirim ke situs jarak jauh.
allquixotic
1
It's a Sharepoint site using NTLM authentication- Seluruh poin otentikasi NTLM adalah bahwa Anda tidak diminta untuk authentiation. Kredensial Anda secara otomatis diberikan. Jika Anda ingin mengautentikasi sebagai pengguna yang berbeda, mulai ulang peramban Anda dan jalankan sebagai pengguna yang berbeda.
Zoredache

Jawaban:

5

Saya memiliki masalah yang sama. Saya dulu masuk ke satu situs web dengan kredensial dan sekarang saya tidak bisa masuk menggunakan yang lain. Ketika saya keluar dan mencoba masuk lagi, Chrome menempatkan header Otorisasi secara otomatis tanpa bertanya. Situs ini menggunakan basis data pengguna lokal (tanpa AD kecuali file .htpasswd biasa) dan menggunakan otentikasi Dasar.

Sudah mencoba membersihkan semua cookie dan kata sandi yang disimpan. Tidak berhasil Dan ini hanya terjadi pada Chrome dan hanya pada satu PC (pada PC lain di Chrome dengan akun Google saya berfungsi dengan baik dan meminta kredensial setelah masuk)

Saya telah menemukan solusi untuk masalah ini karena tujuan utama saya adalah mengautentikasi sebagai pengguna yang berbeda. Saya telah menjalankan Fiddler dan mengaktifkan breakpoints di sana. Jadi atas permintaan dengan header Otorisasi saya telah memaksa respons 401 dan dengan demikian membuat jendela otentikasi muncul. Kemudian saya telah memberikan kredensial yang diperlukan dan masalah saya telah diperbaiki.

Namun itu tidak menjawab pertanyaan di mana kredensial tersebut disimpan

Ralfeus
sumber
2

Situs itu mungkin menggunakan penyimpanan lokal [1] [2] yang seperti cookie untuk HTML5.

Telah ditanyakan , bagaimana menghapus penyimpanan lokal, tetapi sayangnya, Chrome saat ini tidak memasukkan penyimpanan lokal dalam dialog Clear Browsing Data . Sementara itu, Anda dapat melakukannya secara manual dengan menghapus file yang terkait dengan situs tersebut di bawah Local Storagefolder Direktori Data Pengguna Anda .

Synetech
sumber
0

Hapus centang "Lanjutkan menjalankan aplikasi latar belakang ketika Google Chrome ditutup" di pengaturan Chrome dan hapus data peramban.

Fergara
sumber
0

Ini tidak menjawab pertanyaan, tetapi ini merupakan solusi untuk mengubah kredensial:

  1. Buka Opsi Internet
  2. Klik tab Keamanan
  3. Klik tebakan terbaik Anda untuk zona apa yang menurut Anda berada di bawah situs web. Bagi saya, saya menggunakan kredensial yang salah di situs intranet kantor, dan admin domain saya secara otomatis menambahkan URL ke "Intranet Lokal". Saya tidak punya izin untuk mengedit "Situs" sama sekali, setidaknya saya bisa melihat.
  4. Untuk zona itu, klik "Tingkat khusus ..."
  5. Gulir ke bawah dan pilih "Prompt untuk nama pengguna dan kata sandi"
  6. Klik "OK" untuk menyimpan
  7. Mulai ulang Chrome sehingga akan mengambil pengaturan baru
  8. Menavigasi langsung ke situs web yang dimaksud.
    Pada awalnya saya diminta untuk situs web intranet utama (halaman rumah saya) dan memasukkan kredensial saya. Lalu saya mengklik tautan untuk situs yang dimaksud, yang memiliki domain yang sama, tetapi subdomain yang berbeda. Saya tidak diminta kembali. Saya memulai ulang Chrome lagi, dibatalkan dari prompt pertama, dan ketika saya menavigasi langsung ke URL yang dimaksud, saya menerima prompt dan dapat mengubah kredensial saya untuk situs itu.
  9. Setelah Anda berhasil mengautentikasi dengan akun "benar", Anda dapat mengubah kembali pengaturan untuk masuk otomatis, karena Chrome sekarang mengetahui kredensial terbaru.

Penghargaan untuk ide tersebut masuk ke https://sysadminspot.com/windows/google-chrome-and-ntlm-auto-logon-using-windows-authentication/

emragin
sumber