Chrome - Por que eu sou autenticado automaticamente em um aplicativo Web, mesmo depois de limpar os cookies do navegador?

13

Estou acessando um aplicativo Web usando o Chrome. Se eu sair do aplicativo e limpar todo o histórico / cookies / etc do Chrome (mesmo os cookies em Flash que agora são manipulados pelo Chrome na mesma área Limpar histórico) e depois acessar novamente o site, faço login automaticamente sem que seja solicitado credenciais.

Em seguida, iniciei o Chrome no modo de navegação anônima e pude reproduzir o mesmo comportamento. No entanto , o I foi solicitado no primeiro logon no modo de navegação anônima.

O aplicativo Web se comporta conforme o esperado no Internet Explorer 10.

Algumas informações sobre o aplicativo:

  • É um site do Sharepoint usando autenticação NTLM
  • As credenciais são baseadas no Active Directory, pois o nome de usuário é domínio \ nome de usuário
  • Minha conexão é pela Internet e não há relacionamento do AD entre minha conta local do Windows, meu PC com Windows. Em outras palavras, eu (ou seja, meu usuário conectado localmente e meu PC) não faço parte do domínio do AD.
  • O site está executando SSL na porta 443

Por que o Chrome pode me autenticar automaticamente?

google-chrome security browser internet-explorer authentication Howiecamp
fonte
Se estiver usando o AD, provavelmente não usará a autenticação http básica. Se você já autenticou suas credenciais do AD, é provável que esse seja o motivo pelo qual o Chrome não está pedindo para você se autorregular novamente.
Ramhound
@ Ramhound - Boa captura. Eu verifiquei com as ferramentas F12 que ele está usando autenticação NTLM. Mas, de qualquer forma, como o site está se lembrando de mim se estou limpando todos os cookies do navegador? Ainda é preciso haver um mecanismo de sessão para determinar que eu sou a mesma pessoa de antes. Apenas para esclarecer, minha única autenticação é através do navegador, por exemplo, não estou autenticando de nenhuma outra maneira com o domínio deles e não há relação entre minha máquina e o domínio.
Howiecamp
@ Ramhound - Também não se esqueça que o IE está me solicitando novamente.
Howiecamp
Use o Fiddler ou o Wireshark para verificar se ele está realizando a autenticação Kerberos / SPNEGO automática com suas credenciais de login (procure o www-authentication:cabeçalho HTTP, etc.). Pode estar armazenando em cache o seu login com base no IP ou algo assim. Esse é realmente um problema que você precisa depurar no servidor, mas pelo menos no lado do cliente, você poderá ver que tipo de autenticação (se houver) está sendo executada em uma sessão limpa e quais informações (se houver) sua navegador está enviando para o site remoto.
allquixotic
1
It's a Sharepoint site using NTLM authentication- O ponto principal da autenticação NTLM é que você não é solicitado para autenticação. Suas credenciais são passadas automaticamente. Se você deseja se autenticar como um usuário diferente, reinicie o navegador e execute-o como um usuário diferente.
Zoredache

Respostas:

5

Eu tenho o mesmo problema. Eu costumava fazer logon em um site com credenciais e agora não consigo fazer logon usando outros. Quando faço logoff e tento fazer logon novamente, o Chrome coloca o cabeçalho de autorização automaticamente sem perguntar. O site usa o banco de dados de usuários locais (nenhum AD, mas arquivo .htpasswd simples) e usa autenticação básica.

Já tentei limpar todos os cookies e senhas salvas. Sem sorte E isso acontece apenas no Chrome e apenas em um PC (em outros PCs no Chrome com a minha conta do Google funciona corretamente e solicita credenciais após o logon)

Encontrei uma solução alternativa para o problema, pois meu principal objetivo era autenticar como usuário diferente. Eu executei o Fiddler e habilitei pontos de interrupção lá. Assim, mediante solicitação com o cabeçalho de autorização, forcei a resposta 401 e, assim, fiz aparecer a janela de autenticação. Depois forneci as credenciais necessárias e meu problema foi corrigido.

No entanto, ele não responde à pergunta em que essas credenciais estão armazenadas

Ralfeus
fonte
2

Esse site provavelmente está usando armazenamento local [1] [2], que é como cookies para HTML5.

Foi perguntado como limpar o armazenamento local, mas, infelizmente, o Chrome atualmente não inclui armazenamento local na caixa de diálogo Limpar dados de navegação . Enquanto isso, você pode fazê-lo manualmente, excluindo os arquivos correspondentes a esse site na Local Storagepasta do Diretório de dados do usuário .

Synetech
fonte
0

Desmarque a opção "Continuar executando aplicativos em segundo plano quando o Google Chrome estiver fechado" nas configurações do Chrome e limpe os dados do navegador.

Fergara
fonte
0

Isso não responde à pergunta, mas é uma solução alternativa para alterar credenciais:

  1. Vá para Opções da Internet
  2. Clique na guia Segurança
  3. Clique no seu palpite para saber em que zona você acha que o site pode estar. Para mim, eu estava usando as credenciais incorretas em um site da intranet profissional e meus administradores de domínio adicionaram automaticamente o URL à "Intranet local". Eu não tinha permissão para editar "Sites", pelo menos podia olhar.
  4. Para essa zona, clique em "Nível personalizado ..."
  5. Role até o fim e escolha "Solicitar nome de usuário e senha"
  6. Clique em "OK" para salvar
  7. Reinicie o Chrome para que ele pegue as novas configurações
  8. Navegue diretamente para o site em questão.
    Inicialmente, fui solicitado a acessar o site principal da intranet (minha página inicial) e inseri minhas credenciais. Depois, cliquei em um link para o site em questão, que tem o mesmo domínio, mas um subdomínio diferente. Não fui solicitado novamente. Reiniciei o Chrome novamente, cancelei o pedido primeiro e, quando naveguei diretamente para o URL em questão, recebi um aviso e consegui alterar minhas credenciais para esse site.
  9. Depois de se autenticar com a conta "correta", é possível alterar as configurações novamente para o login automático, pois o Chrome agora conhece as credenciais mais recentes.

O crédito para a ideia vai para https://sysadminspot.com/windows/google-chrome-and-ntlm-auto-logon-using-windows-authentication/

emragins
fonte