Chrome - เหตุใดฉันจึงได้รับการตรวจสอบสิทธิ์โดยอัตโนมัติไปยังเว็บแอปแม้ว่าจะล้างคุกกี้ในเบราว์เซอร์แล้วก็ตาม

13

ฉันกำลังเข้าถึงเว็บแอปพลิเคชันโดยใช้ Chrome หากฉันลงชื่อออกจากแอปและล้างประวัติ / คุกกี้ / etc ทั้งหมดของ Chrome (แม้แต่คุกกี้แฟลชที่ Chrome จัดการอยู่ในขณะนี้ในพื้นที่ล้างประวัติเดียวกัน) จากนั้นเข้าถึงไซต์อีกครั้งฉันจะเข้าสู่ระบบโดยอัตโนมัติโดยไม่ได้รับแจ้ง หนังสือรับรอง

ฉันเปิดใช้งาน Chrome ในโหมดไม่ระบุตัวตนและสามารถสร้างลักษณะการทำงานเดียวกันซ้ำอีกครั้ง อย่างไรก็ตามฉันได้รับแจ้งเมื่อเข้าสู่ระบบครั้งแรกขณะอยู่ในโหมดไม่ระบุตัวตน

แอปพลิเคชันเว็บทำงานตามที่คาดไว้ใน Internet Explorer 10

ข้อมูลบางอย่างเกี่ยวกับแอปพลิเคชัน:

  • มันเป็นไซต์ Sharepoint ที่ใช้การพิสูจน์ตัวตน NTLM
  • ข้อมูลรับรองเป็นแบบ Active Directory เนื่องจากชื่อผู้ใช้เป็นโดเมน \ ชื่อผู้ใช้
  • การเชื่อมต่อของฉันอยู่บนอินเทอร์เน็ตและไม่มีความสัมพันธ์ AD ระหว่างบัญชี Windows ในพื้นที่ของฉันคือพีซี Windows ของฉัน กล่าวอีกนัยหนึ่งฉัน (หมายถึงผู้ใช้ที่ล็อกอินในเครื่องและพีซีของฉัน) ไม่ได้เป็นส่วนหนึ่งของโดเมนโฆษณาของพวกเขา
  • ไซต์กำลังใช้งาน SSL บนพอร์ต 443

เหตุใด Chrome จึงตรวจสอบสิทธิ์ฉันโดยอัตโนมัติ

google-chrome  security  browser  internet-explorer  authentication 
Howiecamp
แหล่งที่มา
หากใช้ AD ก็น่าจะไม่ใช้การตรวจสอบ http พื้นฐาน หากคุณรับรองความถูกต้องของข้อมูลรับรองโฆษณาของคุณแล้วนั่นน่าจะเป็นเหตุผลที่ Chrome ไม่ได้ขอให้คุณตื่นเต้นอีกครั้ง
Ramhound
@Ramhound - จับได้ดี ฉันตรวจสอบด้วยเครื่องมือ F12 ว่าใช้การตรวจสอบสิทธิ์ NTLM แต่ในกรณีใด ๆ เว็บไซต์จะจำฉันได้อย่างไรหากฉันล้างคุกกี้เบราว์เซอร์ทั้งหมด ยังคงต้องมีกลไกเซสชันเพื่อตรวจสอบว่าฉันเป็นบุคคลเดียวกันเหมือนก่อนหน้านี้ นอกจากนี้เพื่อชี้แจงการพิสูจน์ตัวตนเพียงอย่างเดียวของฉันคือผ่านเบราว์เซอร์เช่นฉันไม่ได้พิสูจน์ตัวตนด้วยวิธีอื่นใดกับโดเมนของพวกเขาและไม่มีความสัมพันธ์ระหว่างเครื่องของฉันและโดเมนของพวกเขา
Howiecamp
@Ramhound - อย่าลืมว่า IE กำลังแจ้งเตือนฉันอีกครั้ง
Howiecamp
ใช้ Fiddler หรือ Wireshark เพื่อตรวจสอบว่ามันทำการตรวจสอบสิทธิ์ Kerberos / SPNEGO โดยอัตโนมัติด้วยข้อมูลรับรองการเข้าสู่ระบบของคุณหรือไม่ (มองหาwww-authentication:ส่วนหัว HTTP ฯลฯ ) อาจเป็นการแคชข้อมูลเข้าสู่ระบบของคุณโดยยึดตาม IP หรือบางอย่าง นี่เป็นปัญหาที่คุณต้องแก้ไขในฝั่งเซิร์ฟเวอร์ แต่อย่างน้อยจากฝั่งไคลเอ็นต์คุณจะสามารถดูชนิดของการรับรองความถูกต้อง (ถ้ามี) ที่ทำในเซสชันที่สะอาดและข้อมูลใด ๆ (ถ้ามี) ของคุณ เบราว์เซอร์กำลังส่งไปยังไซต์ระยะไกล
allquixotic
1
It's a Sharepoint site using NTLM authentication- จุดทั้งหมดของการรับรองความถูกต้อง NTLM คือคุณไม่ได้รับแจ้งให้ตรวจสอบสิทธิ์ ข้อมูลรับรองของคุณจะถูกส่งโดยอัตโนมัติ หากคุณต้องการตรวจสอบสิทธิ์ในฐานะผู้ใช้อื่นให้รีสตาร์ทเบราว์เซอร์และเรียกใช้ในฐานะผู้ใช้อื่น
Zoredache

คำตอบ:

5

ฉันมีปัญหาเดียวกัน ฉันเคยเข้าสู่เว็บไซต์หนึ่งโดยใช้ข้อมูลรับรองและตอนนี้ฉันไม่สามารถเข้าสู่ระบบโดยใช้เว็บไซต์อื่น เมื่อฉันออกจากระบบและพยายามเข้าสู่ระบบอีกครั้ง Chrome ทำให้ส่วนหัวการอนุญาตโดยอัตโนมัติโดยไม่ต้องถาม ไซต์ใช้ฐานข้อมูลผู้ใช้ท้องถิ่น (ไม่มีโฆษณา แต่เป็นไฟล์. htpasswd ธรรมดา) และใช้การรับรองความถูกต้องเบื้องต้น

ลองทำความสะอาดคุกกี้และรหัสผ่านที่บันทึกไว้ทั้งหมดแล้ว ไม่มีโชค. และสิ่งนี้เกิดขึ้นเฉพาะใน Chrome และในพีซีเครื่องเดียว (ในพีซีเครื่องอื่นใน Chrome ด้วยบัญชี Google ของฉันมันทำงานได้อย่างถูกต้องและขอเครดิตหลังจากเข้าสู่ระบบ)

ฉันพบวิธีแก้ปัญหาสำหรับปัญหานี้เนื่องจากเป้าหมายหลักของฉันคือการตรวจสอบสิทธิ์เป็นผู้ใช้รายอื่น ฉันเรียกใช้พู้ทำเล่นและเปิดใช้เบรกพอยต์ที่นั่น ดังนั้นเมื่อมีการร้องขอด้วยหัวข้อการอนุญาตฉันได้บังคับให้ตอบกลับ 401 และทำให้หน้าต่างการตรวจสอบสิทธิ์ปรากฏขึ้น จากนั้นฉันได้ให้ข้อมูลรับรองที่จำเป็นและปัญหาของฉันได้รับการแก้ไขแล้ว

อย่างไรก็ตามจะไม่ตอบคำถามที่เก็บข้อมูลรับรองเหล่านั้น

Ralfeus
แหล่งที่มา
2

ไซต์นั้นอาจใช้ที่เก็บข้อมูลในตัวเครื่อง[1] [2]ซึ่งคล้ายกับคุกกี้สำหรับ HTML5

มีการถามวิธีการล้างที่เก็บข้อมูลในเครื่อง แต่น่าเสียดายที่ Chrome ไม่ได้รวมที่จัดเก็บในตัวเครื่องไว้ในกล่องโต้ตอบล้างข้อมูลการท่องเว็บ ในขณะเดียวกันคุณสามารถทำได้ด้วยตนเองโดยการลบไฟล์ (s) ที่สอดคล้องกับเว็บไซต์ที่ภายใต้Local Storageโฟลเดอร์ที่คุณDirectory ผู้ใช้ข้อมูล

Synetech
แหล่งที่มา
0

ยกเลิกการเลือก "เรียกใช้แอปพื้นหลังต่อไปเมื่อปิด Google Chrome" ในการตั้งค่า Chrome และล้างข้อมูลเบราว์เซอร์

Fergara
แหล่งที่มา
0

สิ่งนี้ไม่ตอบคำถาม แต่เป็นการแก้ไขข้อมูลประจำตัว:

  1. ไปที่ตัวเลือกอินเทอร์เน็ต
  2. คลิกที่แท็บความปลอดภัย
  3. คลิกที่ดีที่สุดคาดเดาสำหรับโซนที่คุณคิดว่าเว็บไซต์อาจจะอยู่ภายใต้ สำหรับฉันฉันใช้ข้อมูลรับรองที่ไม่ถูกต้องในไซต์อินทราเน็ตที่ทำงานและผู้ดูแลโดเมนของฉันได้เพิ่ม URL ไปยัง "Local Intranet" โดยอัตโนมัติ ฉันไม่ได้รับอนุญาตให้แก้ไข "Sites" เลยฉันสามารถดูได้อย่างน้อย
  4. สำหรับโซนนั้นคลิก "ระดับที่กำหนดเอง ... "
  5. เลื่อนไปจนสุดด้านล่างแล้วเลือก "แจ้งชื่อผู้ใช้และรหัสผ่าน"
  6. คลิก "ตกลง" เพื่อบันทึก
  7. รีสตาร์ท Chrome เพื่อให้รับการตั้งค่าใหม่
  8. นำทางไปยังเว็บไซต์ที่เป็นปัญหาโดยตรง
    ตอนแรกฉันได้รับแจ้งสำหรับเว็บไซต์อินทราเน็ตหลัก (หน้าแรกของฉัน) และป้อนข้อมูลประจำตัวของฉัน จากนั้นฉันคลิกลิงก์สำหรับไซต์ที่เป็นปัญหาซึ่งมีโดเมนเดียวกัน แต่เป็นโดเมนย่อยอื่น ฉันไม่ได้รับแจ้งอีก ฉันรีสตาร์ท Chrome อีกครั้งยกเลิกพรอมต์แรกและเมื่อฉันไปยัง URL ที่เป็นปัญหาโดยตรงฉันได้รับพรอมต์และสามารถเปลี่ยนข้อมูลรับรองสำหรับไซต์นั้นได้
  9. เมื่อคุณรับรองความถูกต้องเรียบร้อยแล้วด้วยบัญชี "ถูกต้อง" คุณสามารถเปลี่ยนการตั้งค่ากลับสู่การลงชื่อเข้าใช้อัตโนมัติได้เนื่องจาก Chrome รู้จักข้อมูลประจำตัวล่าสุดแล้ว

เครดิตสำหรับแนวคิดจะไปที่https://sysadminspot.com/windows/google-chrome-and-ntlm-auto-logon-using-windows-authentication/

emragins
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.