Chrome - Почему я автоматически аутентифицируюсь в веб-приложении даже после очистки файлов cookie браузера?

13

Я получаю доступ к веб-приложению с помощью Chrome. Если я выхожу из приложения и очищаю всю историю Chrome / файлы cookie / и т. Д. (Даже файлы Flash cookie, которые теперь обрабатываются Chrome в той же области «Очистить историю»), а затем снова получаю доступ к сайту, я автоматически захожу в систему. без запрашивается учетные данные.

Затем я запустил Chrome в режиме инкогнито и смог воспроизвести то же поведение. тем не мение , мне навязали первый вход в систему в режиме инкогнито.

Веб-приложение ведет себя так, как ожидается в Internet Explorer 10.

Некоторая информация о приложении:

Это сайт Sharepoint, использующий аутентификацию NTLM
Учетные данные основаны на Active Directory, так как имя пользователя домен \ имя пользователя
Мое соединение установлено через Интернет, и между моей локальной учетной записью Windows и ПК с Windows отсутствует связь AD. Другими словами, я (то есть мой локально зарегистрированный пользователь и мой компьютер) никоим образом не являюсь частью их домена AD.
На сайте работает SSL по порту 443

Почему Chrome может автоматически аутентифицировать меня?

— Howiecamp
источник

Если он использует AD, то, скорее всего, не использует базовую HTTP-аутентификацию. Если вы уже аутентифицировали свои учетные данные AD, вероятно, причина в том, что Chrome не просит вас снова проходить аутентификацию.

— Ramhound

@Ramhound - Хороший улов. Я проверил с помощью инструментов F12, что он использует аутентификацию NTLM. Но в любом случае, как сайт запоминает меня, если я очищаю все куки браузера? Там все еще должен быть механизм сеанса, чтобы определить, что я такой же человек, как и раньше. Также, чтобы уточнить, моя единственная аутентификация - через браузер, например, я не аутентифицируюсь никаким другим способом с их доменом, и нет никакой связи между моей машиной и их доменом.

— Howiecamp

@Ramhound - также не забывайте, что IE является побуждая меня снова.

— Howiecamp

Используйте Fiddler или Wireshark, чтобы проверить, выполняет ли он автоматическую аутентификацию Kerberos / SPNEGO с вашими учетными данными для входа (ищите www-authentication: HTTP-заголовок и т. Д.). Это может быть кэширование вашего логина на основе IP или чего-то еще. Это действительно проблема, которую вам нужно отладить на стороне сервера, но, по крайней мере, на стороне клиента вы сможете увидеть, какой тип аутентификации (если есть) он выполняет в чистом сеансе, и какую информацию (если таковая имеется) ваш браузер отправляет на удаленный сайт.

— allquixotic

1

It's a Sharepoint site using NTLM authentication - Весь смысл аутентификации NTLM заключается в том, что вы не получаете запрос на аутентификацию. Ваши учетные данные автоматически передаются. Если вы хотите пройти аутентификацию от имени другого пользователя, перезапустите браузер и запустите его от имени другого пользователя.

— Zoredache

5

У меня такая же проблема. Раньше я заходил на один веб-сайт с учетными данными, и теперь я не могу войти, используя другие. Когда я выхожу и пытаюсь войти снова, Chrome автоматически ставит заголовок авторизации, не спрашивая. Сайт использует базу данных локальных пользователей (не AD, а обычный файл .htpasswd) и использует обычную аутентификацию.

Уже пробовал очистить все куки и сохраненные пароли. Неудачно. И это происходит только в Chrome и только на одном компьютере (на других компьютерах в Chrome с моей учетной записью Google он работает правильно и запрашивает учетные данные после входа в систему)

Я нашел обходной путь для этой проблемы, так как моей главной целью было пройти аутентификацию от имени другого пользователя. Я запустил Fiddler и включил там точки останова. Таким образом, по запросу с заголовком авторизации я вызвал ответ 401 и, таким образом, сделал окно аутентификации для отображения. Затем я предоставил необходимые учетные данные, и моя проблема была исправлена.

Однако это не отвечает на вопрос, где хранятся эти учетные данные

— Ralfeus
источник

2

Этот сайт, вероятно, использует локальное хранилище ^{[1] [2]} который похож на куки для HTML5.

Было задано Как очистить локальное хранилище, но, к сожалению, в настоящее время Chrome не Очистить данные просмотра Диалог. В то же время, вы можете сделать это вручную, удалив файл (ы), соответствующий этому сайту под Local Storage папка вашего Каталог пользовательских данных ,

— Synetech
источник

0

Снимите флажок «Продолжать запуск фоновых приложений, когда Google Chrome закрыт» в настройках Chrome и очистите данные браузера.

— Fergara
источник

0

Это не отвечает на вопрос, но это обходной путь для изменения учетных данных:

Перейти в Свойства обозревателя
Нажмите вкладку Безопасность
Нажмите на свое предположение, для какой зоны, по вашему мнению, может находиться веб-сайт. Для меня я использовал неправильные учетные данные на сайте рабочей интрасети, и администраторы моего домена автоматически добавили URL-адрес в «Локальная интрасеть». У меня не было разрешения редактировать «Сайты» вообще, я мог хотя бы посмотреть.
Для этой зоны нажмите «Пользовательский уровень ...»
Прокрутите весь путь вниз и выберите «Запрос имени пользователя и пароля»
Нажмите «ОК», чтобы сохранить
Перезапустите Chrome, чтобы он выбрал новые настройки
Перейдите непосредственно к соответствующему веб-сайту.
Сначала мне предложили ввести основной веб-сайт интранета (мою домашнюю страницу) и я ввел свои учетные данные. Затем я щелкнул ссылку для рассматриваемого сайта, который имеет тот же домен, но другой поддомен. Я не был повторно предложен. Я снова перезапустил Chrome, отменил первый запрос, и когда я перешел непосредственно к соответствующему URL-адресу, я получил приглашение и смог изменить свои учетные данные для этого сайта.
После успешной проверки подлинности с «правильной» учетной записью вы можете изменить параметры автоматического входа, поскольку теперь Chrome знает последние учетные данные.

Кредит на идею идет в https://sysadminspot.com/windows/google-chrome-and-ntlm-auto-logon-using-windows-authentication/

— emragins
источник