Chrome - Чому я автоматично підтверджую автентифікацію веб-програми навіть після очищення файлів cookie браузера?

14

Я отримую доступ до веб-програми за допомогою Chrome. Якщо я вийти з програми і очистити всі історії Chrome / печиво / і т.д. (навіть флеш - куки , які в даний час опрацьовуються Chrome в тій же самій області Clear History) , а потім знову отримати доступ до сайту, я автоматично авторизовані без запиту на введення повноваження.

Потім я запустив Chrome в режимі інкогніто і зміг відтворити ту саму поведінку. Однак мені було запропоновано під час першого входу в режим інкогніто.

Веб-додаток веде себе так, як очікувалося в Internet Explorer 10.

Деякі відомості про програму:

Це сайт Sharepoint, що використовує аутентифікацію NTLM
Вхідні дані засновані на Active Directory, оскільки ім'я користувача - це домен \ ім'я користувача
Моє з'єднання через Інтернет, і між моїм локальним обліковим записом Windows, моїм ПК з Windows немає зв’язків AD. Іншими словами, я (маю на увазі мій локальний користувач та мій ПК) жодним чином не є частиною їх домену AD.
На сайті працює SSL на порт 443

Чому Chrome може автоматично мене автентифікувати?

— Howiecamp
джерело

Якщо він використовує AD, то він, ймовірно, не використовує основну http аутентифікацію. Якщо ви вже автентифікували свої облікові дані AD, то, швидше за все, Chrome не просить вас повторно авторизуватися.

— Рамхаунд

@Ramhound - Гарний улов. Я за допомогою інструментів F12 підтвердив, що він використовує аутентифікацію NTLM. Але в будь-якому випадку, як пам’ятає сайт, якщо я очищаю всі файли cookie браузера? Ще має бути механізм сеансу, щоб визначити, що я та сама людина, як і раніше. Крім того, лише для уточнення, моя єдина автентифікація - це через браузер, наприклад, я не автентифікую жодним іншим чином їх домен, і немає зв'язку між моєю машиною та їх доменом.

— Howiecamp

@Ramhound - Також не варто забувати , що IE буде знову спонукаючи мене.

— Howiecamp

Використовуйте Fiddler або Wireshark, щоб побачити, чи робить він автоматичну автентифікацію Kerberos / SPNEGO за допомогою ваших даних для входу (шукайте www-authentication:заголовка HTTP тощо). Це може кешувати ваш логін на основі IP-адреси чи чогось іншого. Це дійсно проблема, яку потрібно налагодити на стороні сервера, але принаймні з боку клієнта ви зможете побачити, який аутентифікатор (якщо такий є) він робить на чистому сеансі та яку інформацію (якщо така є) вашу браузер надсилає на віддалений сайт.

— allquixotic

1

It's a Sharepoint site using NTLM authentication- Вся суть аутентифікації NTLM полягає в тому, що вам не запропоновано підтвердити автентифікацію. Ваші облікові дані передаються автоматично. Якщо ви хочете пройти автентифікацію як іншого користувача, перезапустіть веб-переглядач і запустіть його як інший користувач.

— Zoredache

5

У мене ж питання. Раніше я входив на один веб-сайт за допомогою облікових даних, а тепер не можу ввійти за допомогою інших. Коли я виходжу і спробую знову ввійти, Chrome автоматично додає заголовок авторизації без запитань. Сайт використовує базу даних місцевих користувачів (не AD, а звичайний .htpasswd файл) та використовує базову автентифікацію.

Уже спробували очистити всі файли cookie та збережені паролі. Не вдалося. І це відбувається лише в Chrome і лише на одному ПК (на інших ПК у Chrome з моїм обліковим записом Google, він працює належним чином і запитує облікові дані після входу)

Я знайшов вирішення проблеми, оскільки моєю основною метою була автентифікація як іншого користувача. Я запустив Fiddler і включив там точки прориву. Тож на запит із заголовком авторизації я змусив відповідь 401 і, таким чином, зробив вікно автентифікації для появи. Тоді я надав необхідні облікові дані, і моя проблема була виправлена.

Однак він не відповідає на питання, де зберігаються ці облікові дані

— Ральфеус
джерело

2

Цей сайт, ймовірно, використовує локальне сховище ^{[1] [2],} яке схоже на файли cookie для HTML5.

Було запитано , як очистити локальний сховище, але, на жаль, Chrome зараз не включає локальне сховище у діалоговому вікні « Очистити дані перегляду» . Тим часом це можна зробити вручну, видаливши файли (файли), відповідні цьому сайту, у Local Storageпапці Вашого довідника даних користувачів .

— Synetech
джерело

0

Зніміть прапорець "Продовжити запускати фонові програми, коли Google Chrome закритий" у налаштуваннях Chrome та очистити дані веб-переглядача.

— Фергара
джерело

0

Це не дає відповіді на питання, але це обробка змін для облікових даних:

Перейдіть до Інтернету
Перейдіть на вкладку Безпека
Клацніть на найкращі здогадки, під якою зоною, на вашу думку, може знаходитися веб-сайт. Для мене я використовував неправильні облікові дані на робочому сайті інтрамережі, і мої адміністратори домену автоматично додавали URL до "Локальної Інтранети". Я взагалі не мав дозволу редагувати "Сайти", я міг хоча б подивитися.
Для цієї зони натисніть "Спеціальний рівень ..."
Прокрутіть до кінця вниз і виберіть "Запросити ім'я користувача та пароль"
Натисніть "ОК", щоб зберегти
Перезавантажте Chrome, щоб він підбирав нові налаштування
Перейдіть безпосередньо до відповідного веб-сайту.
Спочатку мене запросили на головний веб-сайт інтранет (мою домашню сторінку) та ввели мої облікові дані. Потім я натиснув посилання на відповідний сайт, який має той самий домен, але інший піддомен. Мене не запропонували повторно. Я знову перезапустив Chrome, скасувавшись із першого підказки, і коли я перейшов безпосередньо до відповідної URL-адреси, отримав підказку та зміг змінити свої облікові дані для цього сайту.
Після успішної автентифікації з "правильним" обліковим записом ви можете змінити налаштування для автоматичного входу, оскільки Chrome тепер знає останні дані.

Заслуга ідеї пов’язана з https://sysadminspot.com/windows/google-chrome-and-ntlm-auto-logon-using-windows-authentication/

— emragins
джерело