Chrome - Dlaczego jestem automatycznie uwierzytelniany w aplikacji internetowej nawet po wyczyszczeniu plików cookie w przeglądarce?

13

Uzyskuję dostęp do aplikacji internetowej za pomocą Chrome. Jeśli wyloguję się z aplikacji i wyczyszczę całą historię Chrome / pliki cookie / itp. (Nawet pliki cookie Flash, które są teraz obsługiwane przez Chrome w tym samym obszarze Wyczyść historię), a następnie ponownie uzyskam dostęp do witryny, automatycznie zaloguję się bez monitowania o kwalifikacje.

Następnie uruchomiłem Chrome w trybie incognito i mogłem odtworzyć to samo zachowanie. Jednakże , I został poproszony na pierwszej chwili logowania w trybie incognito.

Aplikacja internetowa zachowuje się zgodnie z oczekiwaniami w programie Internet Explorer 10.

Niektóre informacje o aplikacji:

  • To witryna Sharepoint wykorzystująca uwierzytelnianie NTLM
  • Poświadczenia są oparte na usłudze Active Directory, ponieważ nazwa użytkownika to domena \ nazwa użytkownika
  • Moje połączenie odbywa się przez Internet i nie ma związku AD między moim lokalnym kontem Windows, moim komputerem z systemem Windows. Innymi słowy, ja (czyli mój lokalnie zalogowany użytkownik i mój komputer) nie są w żaden sposób częścią ich domeny AD.
  • Witryna korzysta z protokołu SSL na porcie 443

Dlaczego Chrome może mnie automatycznie uwierzytelniać?

google-chrome security browser internet-explorer authentication Howiecamp
źródło
Jeśli używa AD, prawdopodobnie nie używa podstawowego uwierzytelniania HTTP. Jeśli już uwierzytelniłeś swoje poświadczenia AD, prawdopodobnie jest to powód, dla którego Chrome nie prosi o ponowne uwierzytelnienie.
Ramhound
@Ramhound - Dobry połów. Za pomocą narzędzi F12 zweryfikowałem, że używa uwierzytelniania NTLM. Ale w każdym razie, jak strona mnie pamięta, jeśli usuwam wszystkie pliki cookie przeglądarki? Nadal musi istnieć mechanizm sesji, aby ustalić, że jestem tą samą osobą, co wcześniej. Również dla wyjaśnienia, moje jedyne uwierzytelnianie odbywa się za pośrednictwem przeglądarki, np. Nie uwierzytelniam się w żaden inny sposób w ich domenie i nie ma związku między moją maszyną a ich domeną.
Howiecamp
@Ramhound - również nie zapominać, że IE jest skłoniło mnie ponownie.
Howiecamp
Użyj Fiddler lub Wireshark, aby sprawdzić, czy wykonuje automatyczne uwierzytelnianie Kerberos / SPNEGO przy użyciu poświadczeń logowania (poszukaj www-authentication:nagłówka HTTP itp.). Może to być buforowanie loginu na podstawie adresu IP lub coś takiego. To jest naprawdę problem, który musisz debugować po stronie serwera, ale przynajmniej po stronie klienta będziesz mógł zobaczyć, jakiego rodzaju uwierzytelnianie (jeśli w ogóle) robi podczas czystej sesji i jakie informacje (jeśli w ogóle) przeglądarka wysyła do zdalnej strony.
allquixotic
1
It's a Sharepoint site using NTLM authentication- Cały sens uwierzytelniania NTLM polega na tym, że nie pojawia się monit o uwierzytelnienie. Twoje dane uwierzytelniające są automatycznie przekazywane. Jeśli chcesz uwierzytelnić się jako inny użytkownik, uruchom ponownie przeglądarkę i uruchom ją jako inny użytkownik.
Zoredache

Odpowiedzi:

5

Mam ten sam problem. Kiedyś logowałem się na jednej stronie internetowej przy użyciu poświadczeń, a teraz nie mogę się zalogować przy użyciu innych. Kiedy się wylogowuję i próbuję zalogować się ponownie, Chrome automatycznie umieszcza nagłówek autoryzacji bez pytania. Witryna korzysta z lokalnej bazy danych użytkowników (bez reklam, ale zwykły plik .htpasswd) i używa uwierzytelniania podstawowego.

Próbowałem już wyczyścić wszystkie pliki cookie i zapisane hasła. Brak szczęścia. Dzieje się tak tylko w Chrome i tylko na jednym komputerze (na innych komputerach w Chrome z moim kontem Google działa poprawnie i prosi o podanie danych logowania po zalogowaniu)

Znalazłem obejście tego problemu, ponieważ moim głównym celem było uwierzytelnienie się jako inny użytkownik. Uruchomiłem Fiddler i włączyłem tam punkty przerwania. Więc na żądanie z nagłówkiem Autoryzacji wymusiłem odpowiedź 401 i w ten sposób sprawiłem, że pojawiło się okno uwierzytelnienia. Następnie podałem niezbędne dane uwierzytelniające i mój problem został rozwiązany.

Jednak nie odpowiada na pytanie, gdzie przechowywane są te poświadczenia

Ralfeus
źródło
2

Ta witryna prawdopodobnie używa pamięci lokalnej [1] [2], która przypomina pliki cookie dla HTML5.

Zapytano , jak wyczyścić pamięć lokalną, ale niestety Chrome obecnie nie uwzględnia pamięci lokalnej w oknie dialogowym Wyczyść dane przeglądania . W międzyczasie możesz to zrobić ręcznie, usuwając pliki odpowiadające tej witrynie w Local Storagefolderze katalogu danych użytkownika .

Synetech
źródło
0

Odznacz „Kontynuuj uruchamianie aplikacji w tle po zamknięciu Google Chrome” w ustawieniach Chrome i wyczyść dane przeglądarki.

Fergara
źródło
0

To nie odpowiada na pytanie, ale jest obejście problemu polegające na zmianie poświadczeń:

  1. Przejdź do Opcje internetowe
  2. Kliknij kartę Zabezpieczenia
  3. Kliknij swoje najlepsze odgadnięcie, w jakiej strefie według ciebie może znajdować się strona internetowa. Dla mnie używałem niewłaściwych danych uwierzytelniających w witrynie intranetowej, a administratorzy mojej domeny automatycznie dodali adres URL do „Lokalnego intranetu”. W ogóle nie miałem uprawnień do edytowania „Witryn”, mogłem przynajmniej spojrzeć.
  4. W tej strefie kliknij „Poziom niestandardowy ...”
  5. Przewiń do samego końca i wybierz „Monituj o nazwę użytkownika i hasło”
  6. Kliknij „OK”, aby zapisać
  7. Uruchom ponownie Chrome, aby pobrać nowe ustawienia
  8. Przejdź bezpośrednio do danej witryny.
    Na początku zostałem poproszony o podanie głównej strony intranetowej (mojej strony głównej) i wpisanie moich danych uwierzytelniających. Następnie kliknąłem link do danej witryny, która ma tę samą domenę, ale inną subdomenę. Nie otrzymałem ponownego monitu. Zrestartowałem Chrome ponownie, anulowałem po pierwszym pytaniu, a kiedy nawigowałem bezpośrednio do danego adresu URL, otrzymałem monit i mogłem zmienić dane uwierzytelniające dla tej witryny.
  9. Po pomyślnym uwierzytelnieniu za pomocą „poprawnego” konta możesz zmienić ustawienia automatycznego logowania, ponieważ Chrome zna teraz najnowsze dane uwierzytelniające.

Kredyt za pomysł trafia na https://sysadminspot.com/windows/google-chrome-and-ntlm-auto-logon-using-windows-authentication/

emragins
źródło