Firefox: На чем основывается запоминание информации для входа?

Question

Обновлено с уточнениями

Здравствуйте,

Когда наши пользователи переходят на http://mysubdomain.server.com/login, они перенаправляются на https://secure.server.com/login?subdomain=mysubdomain. Таким образом, фактическая страница входа в систему находится на поддомене secure.server.com.

Проблема в том, что если пользователь входит в систему с учетными данными, предназначенными для subdomainA, и говорит Firefox запомнить пароль, браузер автоматически заполняет форму входа, даже если пользователь заходит на страницу входа, что означает вход в систему subdomainB .

Firefox предполагает, что форма входа в систему secure.server.com/login?subdomain=subdomainA такая же, как в secure.server.com/login?subdomain=subdomainB.

Сначала я думал, что Firefox запоминает пароли на основе сочетания URL-адреса и атрибута name формы, но я попытался изменить name на основе субдомена (name="login-<subdomain_name>"), и это все еще не работает.

Как заставить Firefox запоминать пароли для subdomainA и для subdomainB отдельно, а не вместе?

Answer 1

Я не мог понять, какие у вас настройки, но вы можете включить отладку менеджера входа в систему и проверить, что делает Firefox. Вы также можете проверить signons.sqlite в своем профиле , чтобы увидеть, какие части данных хранятся вместе с логином.

Я думал, что для веб-форм он отключил URL-адрес отправки формы, но у меня не очень хорошая память об этом.

[править] source (nsLoginManager.js) говорит, что использует только action формы и URL-адрес страницы и использует не сам URL-адрес action / page, а (см. _getPasswordOrigin) схему + host + port комбинация.

Answer 2

Доменное имя AFAIK (полное) является текущей основой для запоминания логина. Впрочем, так было не всегда. Я не уверен насчет протокола или номера порта, но a.domain.com отличается от b.domain.com и domain.com, но так же, как a.domain.com/somewhere.

Answer 3

Если они на самом деле вводят данные в http просто для перенаправления на https после входа в систему, разве это не плохой сценарий? Вы уже отправляете наиболее конфиденциальную часть данных в незашифрованном виде по сети.

Я полагаю, что лучшим решением было бы перенаправить их на сайт https и авторизоваться там ... Есть ли что-то, чего мне не хватает в вашей настройке? Они снова входят в систему на защищенном сайте?