69447 Letture

Forzare il browser a ricordare le password

Tutti i browser web dispongono di uno strumento che consente di salvare le password digitate sui moduli di login online o meglio i dati di autenticazione utilizzati per accedere ad un qualunque sito web o servizio. Il componente che si occupa di salvare e ricordare le password si chiama password manager: non appena, durante una successiva sessione di lavoro, ci si ricollegherà alla medesima pagina utilizzata per il login, il browser predisporrà automaticamente - nei campi corrispondenti - il nome utente e la password precedentemente memorizzati.

Quando si lascia che il browser memorizzi le password è bene comunque tenere a mente che tali informazioni sono ben lungi dell'essere adeguatamente protette. E ciò non soltanto perché la maggior parte degli utenti non imposta una "master password", una parola chiave a protezione dell'intero archivio dei dati di autenticazione del browser ma perché tali informazioni possono essere facilmente recuperate.

Un software come WebBrowserPassView, ad esempio, consente di recuperare le password da browser quali Internet Explorer, Firefox, Chrome ed Opera avviando una semplice applicazione (l'abbiamo presentata nel dettaglio nell'articolo Mettere al sicuro le credenziali d'accesso con KeePass. Come importarle da qualunque browser). Il programma, però, non è attualmente capace di esporre in chiaro tutti i dati che siano stati protetti ricorrendo ad una "master password". In altre parole, se l'utente utilizza un browser web che consente di proteggere i dati di autenticazione precedentemente memorizzati ricorrendo ad una password principale, WebBrowserPassView attualmente non può nulla dal momento che i dati sono salvati su disco in forma cifrata.

Per i tecnici di Google, però, l'utilizzo di una "master password" infonderebbe negli utenti un falso senso di sicurezza. È proprio questo il motivo per cui, ad esempio, in Google Chrome manca del tutto la possibilità di impostare una password a protezione del proprio archivio dei dati di autenticazione.
In Chrome si è quindi preferito utilizzare una funzione API di Windows che rende possibile la decifratura del file contenente le password memorizzate dal browser solo utilizzando lo stesso account utente Windows.
Il problema, nel caso di Chrome, è che chiunque riesca ad accedere a Windows utilizzando uno degli account utente configurati sul sistema locale, potrà riuscire a mettere le mani sui dati di autenticazione. Va ricordato, a tal proposito, come le password associate agli account Windows locali possano essere agevolmente modificate od azzerate utilizzando apposite utilità (avevamo spiegato come modificare o azzerare le password degli account Windows nell'articolo Windows: cambiare la password di qualunque account dalla schermata di login e nel servizio Modificare od azzerare le password degli account Windows con Ubuntu live).


Ed anche quando si protegge l'archivio dei dati di autenticazione con una "master password", chi dovesse riuscire ad utilizzare l'account dell'utente, può utilizzare un semplice trucco che sfrutta proprio l'autocomposizione automatica dei moduli online (ne abbiamo parlato nell'articolo Mostrare le password nascoste sotto asterischi e puntini nel browser web).


Forzare il browser a ricordare le password

Quando si effettua il login su alcuni siti web capita che il browser non richieda se s'intenda o meno memorizzare i dati di autenticazione. Sugli altri siti, invece, il browser si offre di ricordare la password. Generalmente non si è di fronte ad un comportamento anomalo: la mancata richiesta di memorizzazione delle password è di solito da imputarsi alla presenza dell'attributo autocomplete="off" nel sorgente HTML della pagina:

Per rendersene conto, basta visitare la pagina web contenente il form per il login, accedere al codice HTML (combinazione di tasti CTRL+U) e cercare la stringa di caratteri autocomplete.

Come fare per forzare il browser a ricordare username e password anche su quelle pagine web ove è stato utilizzato l'attributo autocomplete="off"?

La soluzione consiste nell'utilizzo di una bookmarklet. Una bookmarklet è uno script di dimensioni variabili, generalmente non troppo prolisso, che può essere salvato nei segnalibri del browser web per eseguire in modo rapido determinate operazioni. Le bookmarklet sono delle "scorciatoie" per eseguire delle azioni effettuando il numero minore di passaggi possibile.

Il codice JavaScript che presentiamo più avanti consente di trasformare l'attributo autocomplete="off" in autocomplete="on" aprendo così le porte alla memorizzazione del nome utente e della password da parte del browser web.

Forzare Firefox a ricordare le password

Per utilizzare il bookmarklet in Mozilla Firefox forzando il browser a memorizzare le password, è necessario fare clic sul pulsante Segnalibri posto nella barra degli strumenti quindi scegliere il comando Aggiungi pagina ai segnalibri.

Nel campo Nome si può digitare, per esempio, Salva password, attiva autocompletamento mentre dal menù a tendina Cartella è possibile scegliere se aggiungere il bookmarklet al menù od alla barra dei segnalibri.

Dopo aver cliccato sul pulsante Fatto, si dovrà fare clic con il tasto destro del mouse sulla voce appena aggiunta ai preferiti quindi selezionare Proprietà:

Qui, nella casella Indirizzo, si dovrà introdurre il seguente codice JavaScript:


javascript:(function(){var%20ac,c,f,fa,fe,fea,x,y,z;ac="autocomplete";c=0;f=document.forms;for(x=0;x<f.length;x++){fa=f[x].attributes;for(y=0;y<fa.length;y++){if(fa[y].name.toLowerCase()==ac){fa[y].value="on";c++;}}fe=f[x].elements;for(y=0;y<fe.length;y++){fea=fe[y].attributes;for(z=0;z<fea.length;z++){if(fea[z].name.toLowerCase()==ac){fea[z].value="on";c++;}}}}alert("Modifica%20'"+ac+"'%20applicata%20su%20"+c+"%20oggetti.");})();

Fatto clic su Salva, si potrà adesso aprire la pagina web contenente il modulo di login.

Per fare in modo che il browser memorizzi i dati di autenticazione, bisognerà fare clic sul segnalibro Salva password, attiva autocompletamento appena aggiunto.
Firefox mostrerà il messaggio seguente:

Tipicamente, il browser dovrebbe esporre il messaggio Modifica autocomplete applicata su 1 oggetti.

Dopo aver compilato il modulo per il login, Firefox dovrebbe adesso correttamente richiedere la memorizzazione dei dati di accesso:

Cliccando rapidamente sul pulsante Ricorda la password si farà in modo che il browser memorizzi i dati e li ricordi ai successivi tentativi di login.

Tornando, successivamente, sulla stessa pagina di login bisognerà cliccare nuovamente sul segnalibro Salva password, attiva autocompletamento. Così facendo, si potranno poi specificare le prime lettere del nome utente in modo da invocare la funzione di autocompletamento del browser.

Forzare Chrome a ricordare le password


Per utilizzare il bookmarklet in Google Chrome è necessario fare clic sulla stellina gialla della barra degli indirizzi quindi digitare, ad esempio, Salva password, attiva autocompletamento nel campo Nome:

Si dovrà quindi fare clic su Modifica... e digitare, nel campo URL, il codice JavaScript già visto in precedenza:

javascript:(function(){var%20ac,c,f,fa,fe,fea,x,y,z;ac="autocomplete";c=0;f=document.forms;for(x=0;x<f.length;x++){fa=f[x].attributes;for(y=0;y<fa.length;y++){if(fa[y].name.toLowerCase()==ac){fa[y].value="on";c++;}}fe=f[x].elements;for(y=0;y<fe.length;y++){fea=fe[y].attributes;for(z=0;z<fea.length;z++){if(fea[z].name.toLowerCase()==ac){fea[z].value="on";c++;}}}}alert("Modifica%20'"+ac+"'%20applicata%20su%20"+c+"%20oggetti.");})();

Adesso si potrà visitare la pagina web contenente il modulo di login la cui compilazione non provoca mai la comparsa della richiesta di memorizzazione della password.

Cliccando sul segnalibro Salva password, attiva autocompletamento, Chrome dovrebbe esporre il messaggio Modifica autocomplete applicata su 1 oggetti.

Digitando username e password, Chrome dovrebbe adesso visualizzare la richiesta per la memorizzazione della password:

Per procedere, è necessario cliccare velocemente sul pulsante Salva password.
Ogniqualvolta che si rivisiterà la pagina contenente il modulo per il login, si dovrà necessariamente fare clic sul bookmarklet Salva password, attiva autocompletamento in modo tale da sbloccare la funzionalità di autocompletamento.


- Il bookmarklet non sembra al momento funzionare in Internet Explorer 10.

Chrome non ricorda la password degli account Google

Da qualche tempo a questa parte, Chrome non ricorda più la password degli account Google. Collegandosi con la pagina accounts.google.com, tipicamente utilizzata per il "login unificato" su tutti i servizi della galassia Google, Chrome non sembra essere più in grado di memorizzare nome utente e password. Il browser di casa Google offre la funzionalità di autocompletamento solo per le coppie username-password già presenti nei suoi archivi ma non espone più la richiesta per la memorizzazione della password.
Internet Explorer e Firefox, invece, riescono ad annotare, nei rispettivi password manager, le credenziali d'accesso di Google inserite nella pagina accounts.google.com.

Chrome non visualizza la richiesta di memorizzazione della password degli account Google anche se la casella Chiedi di salvare le password che inserisco sul Web, nelle impostazioni, risulta attivata.

Dal momento che Google Chrome non offre alcun meccanismo per l'inserimento manuale di una coppia username-password nel suo password manager, l'unico espediente consiste nel salvare i dati di autenticazione in Mozilla Firefox quindi effettuare l'importazione da Chrome.

Per procedere, bisognerà accedere alle Impostazioni di Chrome quindi cliccare sul pulsante Importa Preferiti e impostazioni (sezione Utenti).

Dalla scheda Da bisognerà scegliere Mozilla Firefox lasciando quindi spuntata solamente la casella Password salvate:

Cliccando su Importa, Chrome importerà tutte le password salvate in Firefox: è quindi importante verificare che nel browser di Mozilla siano memorizzate solo le credenziali che si vogliono usare nel browser di Google.
Ad importazione avvenuta, è possibile valutare la cancellazione di username e password dal password manager di Firefox.


Tornando alla pagina di login per i possessori di account Google, Chrome dovrebbe finalmente consentire l'autocompletamento.

ATTENZIONE!
- Qualora aveste problemi nel copiare il codice JavaScript del bookmarklet, potete trovarlo - in alternativa - anche a questo indirizzo.


  1. Avatar
    niverim
    06/02/2016 12:25:03
    salve, ringrazio per l'articolo. ho provato a seguire le istruzioni per firefox sul sito https://webmail.aruba.it/index.html ma il popup riferisce la tipica frase con 0 oggetti anzicche 1 oggetti. In questo caso devo lasciare stare? grazie
  2. Avatar
    Senderman
    26/06/2014 00:54:36
    Citazione: Senderman, scusami ma non ho avuto proprio il tempo di verificare. Lo farò appena possibile. Gestire un sito come IlSoftware.it richiede veramente molto molto molto tempo... Grazie per la comprensione, cercherò di farmi sentire prima possibile. Qualora non avessi notizie non esitare a ripubblicarmi un "promemoria".
    Eccolo il "promemoria", essendo passati sei mesi mi sembra giusto ritornare sull'argomento.
  3. Avatar
    ???
    25/06/2014 23:33:51
    Tutto questo procedimento che hai detto andrebbe bene nel caso in cui una persona mantenga attiva la cronologia browser. Giusto!? Se si setta il browser affinchè non vengano registrati cronologia, cookie, password ecc... sarebbe tutto vano!??? Ho forse fatto una domanda ovvia???
  4. Avatar
    Michele Nasi
    22/12/2013 19:24:34
    Senderman, scusami ma non ho avuto proprio il tempo di verificare. Lo farò appena possibile. Gestire un sito come IlSoftware.it richiede veramente molto molto molto tempo... Grazie per la comprensione, cercherò di farmi sentire prima possibile. Qualora non avessi notizie non esitare a ripubblicarmi un "promemoria".
  5. Avatar
    Senderman
    22/12/2013 12:48:12
    Citazione: Per quanto riguarda il tuo della "tua banca", appena possibile farò qualche prova.
    Ci sono notività o ci siamo arresi?
  6. Avatar
    Senderman
    14/12/2013 16:20:03
    Citazione: Per quanto riguarda il tuo della "tua banca", appena possibile farò qualche prova.
    Beh ovviamente la banca non è "mia", magari! :) Cmq non credo che sia l'unico sito dove la procedura non funziona e in ogni caso sono contrario a queste forzature che diversi siti fanno in nome della "sicurezza", ognuno deve essere libero di decidere se vuole introdurre la pass ogni volta che accede ad un determinato sito oppure più comodamente usufruire dell'autocompletamento. La decisione deve spettare all'utente e non al sito.
  7. Avatar
    Michele Nasi
    14/12/2013 15:30:14
    Ovviamente il mio era solo un esempio per confermarti la bontà dell'approccio qui illustrato (che ovviamente funziona con centinaia di siti italiani e non). Per quanto riguarda il tuo della "tua banca", appena possibile farò qualche prova.
  8. Avatar
    Senderman
    14/12/2013 15:16:09
    Citazione: Nel caso della tua banca il trucco disponibile in questa pagina non può funzionare perché, come spiegato in precedenza, non viene utilizzato il parametro autocomplete="off" Inoltre, il modulo per il login è inserito in un frame HTML: https://valido.credem.it/ValidoFrontend ... ml?ist=001 Appena possibile verificheremo se sia possibile aggirare l'ostacolo. Sui siti che fanno uso di autocomplete="off" la procedura descritta nel nostro articolo (esempio: sito di TIM http://www.tim.it) funziona perfettamente.
    Beh mi fa piacere che funzioni sul sito della TIm anche se io non ci vado mai non essendo un cliente TIM! :wink: Come giustamente dici la procedura NON funziona sui siti che non fanno uso di autocomplete="off" e quindi nel mio caso. Ti sono grato del fatto che cercherete di aggirare l'ostacolo nel sito della mia banca dove mi reco spesso e quindi mi risulterebbe molto utile avere l'autocompletamento. Ti ringrazio in anticipo.
  9. Avatar
    Michele Nasi
    14/12/2013 14:44:07
    Nel caso della tua banca il trucco disponibile in questa pagina non può funzionare perché, come spiegato in precedenza, non viene utilizzato il parametro autocomplete="off" Inoltre, il modulo per il login è inserito in un frame HTML: https://valido.credem.it/ValidoFrontend ... ml?ist=001 Appena possibile verificheremo se sia possibile aggirare l'ostacolo. Sui siti che fanno uso di autocomplete="off" la procedura descritta nel nostro articolo (esempio: sito di TIM http://www.tim.it) funziona perfettamente.
Forzare il browser a ricordare le password - IlSoftware.it