Как стать автором
Обновить

Комментарии 57

Начинание отличное. Только в голову пришло сразу столько способов как можно с помощью этого уводить конфиденциальные данные :)
Ух.

Конфиденциальные данные — это те, которые человек использует в автозаполнении?
Есть сайты в которых я ввожу адрес свой и телефон. А есть где только левое мыло.

Сайт которому мне левое мыло неохота доверять, скроет поля с телефоном, а хром услужливо автозаполнит, и я еще не успев ничего возразить узрею как умный AJAX уже заботливо отправил данные куда надо.
А вы проверяли, происходит ли событие onchange при неподтвержденном автозаполнении?
Происходит.
Хотя что вы понимаете под неподтвержденным? Если он показал выпадающий список с имейлом, к которому уже привязаны другие данные, и вы этот имейл выбрали, то да, происходит.
Я говорю о том, что логично было бы с точки зрения безопасности не делать вообще никаких изменений в DOM, пока вы не выбрали конкретный вариант автозаполнения. То что там в полях светятся какие-то записи еще ничего не значит. Если событий не происходит, а value пустой, то вы ничего не получите. Стоит это проверить.
Так вроде Chrome заполняет сразу только если вы сохранили пароль.
О сохранении пароля здесь речь не идет. Только об автоматическом заполнении формы.
Ну так пароль это та же форма. Автозаполнение происходит при фокусе на поле.
Короче предлагаю кому не лень — сделать рабочий эксплоит.
Нет не та же. Пароль сохраняется для конкретного сайта. И никакой иной сайт вашего пароля не увидит. А форма заполняется на всех сайтах. Заполнили вы одну форму регистрации, а на другом сайте вам предложат уже готовые данные для заполнения.
но вы должны их начать набирать.
Логично. Более того, вы должны зайти еще на страницу. Это проблема? :)
Можно и каждую секунду проверять, знаете-ли. Странно что это в голову программистам не приходит.
Оно-то верно, но Хром это может делать и сейчас ведь, без x-autocompletetype.
Хром автозаполняет поле только после того, как вы нажмете на него и выберете один из своих «профилей» в выпадающем меню, так что на этот счёт можно не беспокоиться.
ага… действительно. можно такие аферы проворачивать :)
Не совсем понятно зачем нужен этот атрибут, почему бы не делать автозаполнение когда type=«email»?
А как тогда автозаполнять/различать поля «имя», «фамилия», «адрес» и т.п.? Сейчас это делается, насколько я понимаю, эвристикой, которая анализирует атрибут name каждого поля, но, сами понимаете, это не лучшее решение.
Для этого уже давно придуманы микроформаты. Предложенный Гуглом атрибут множит сущности и больше напоминает рекламный ход по продвижению Хрома, чем действительно актуальную инициативу.
Кстати, очень полезная фишка будет. Иногда хром такое выдаёт… К примеру, email может в пароль поставить или что-то в этом роде.
Главное чтобы не подставил пароль в email -)
Лучше было бы так:
<input type="email" name="email" autocomplete>
Забыл тег закрыть. Ну да ладно. Суть в другом.
Во-первых, было бы хорошо сократить имя атрибута.
Во-вторых, тут было бы достаточно атрибута без явного указания типа подставляемых данных. Какой идиот будет в поле с паролем подставлять мыло? )
Ну как бы одно дело список из 3х емайлов, другое — список из 20-30 строк вперемешку: емайлы, имена, фамилии, адреса, телефоны,…
Думаю krovatti имел ввиду автокомплит по type или name
Именно автокомплит по name я и имел ввиду.
Сорри, перепутал комменты)
Бывает )
Да, вы правы. Имел ввиду автокомплит по атрибуту type.
НЛО прилетело и опубликовало эту надпись здесь
Совершенно верно. Извиняюсь. :)
> Концевой слеш для пустых элементов в HTML5 разрешен, но c «закрытием тега» не связан.

как это не связан? А с чем связан? Объясните, пожалуйста, в паре слов…

/me пытается писать в XML-compliant стиле, я физически не могу не ставить этот слеш, посему понимание реальной реализации возможности ставить этот слеш — очень важно
а если у меня name=«e-mail»? а если мне надо email[]?
Думаю тут главным type=«email» имелось ввиду. Но подход довольно ограничен, выше написали об этом.
Суть несколько в другом — на просторах Интернета различных name для полей email, имени, логина и прочего используется немерянно, отчего комплит и перестает работать. При этом не всегда нужен именно валидированный имейл — если, например, инпут обычный текстовый и может содержать или телефон, или имейл (т.е. у autocompletetype должна быть возможность указать несколько типов, чтобы смешать список для выбора). Плюс адрес, индекс и т.п.

Ну а идея Гугла с его Хромом — автоподстановка сразу всей формы при выборе одного поля (остальные данные будут подставлены из той же «группы»).
Ох, рай для всяких спамботов будет… Авторегистрация для них упростится, как никогда!
Можно подумать это было раньше проблемой для спамеров. Стандартные формы различных типовых движков распознаются и так на ура. А если делать индивидуальную форму, то можно и индивидуальной защитой озадачиться. Я, будучи не программистом, забыл о проблемах спама в формы обратной связи и регистраций для vBulletin и WP. Думаете, что после введения стандартизации автозаполнения форм надо будет паниковать и убегать? :-)
Ну, один из самых действенных способов отваждения спамеров — изменяющиеся имена элементов форм. С таким вот атрибутом это уже не поможет, а изменять его теряется смысл данного атрибута.
Я так понял это является лишь рекомендательным атрибутом для разработчиков, не? )
Насколько я понял, Хром по этому атрибуту будет делать автокомплит. Так что в продакшене применяться будет — а если еще и стандартизируют — во всяких цмсках появится.
Вы — противник небелковых форм жизни? :)
Вроде звучит хорошо, но вот это вроде…
<input type=”text” name=”capctha” x-autocompletetype=”matan-captcha” />

А что, генерация капчи на клиенте — это отличная задумка :)
И сервера можно разгрузить. Требую добавить в HTML6.
*facepalm* Чтобы спамботам капчу было легче подбирать, а людям — сложнее?
надеюсь, это была ирония? Хотя ник надежды почти не оставляет :)
Рискну показаться дремучим и банальным. Автозаполнение форм — это первая фича, которую я отключаю, когда ставлю броузер на свой новый комп. Меня страшно раздражает, когда что-то там «выпадает» из элементов формы. И меня бы очень устроил полуавтоматический вариант — со стрелочкой вниз справа от элемента формы, например.
1. Несекьюрно это
2. А що микроформаты в гугле забанены?
Тег айрони потерял
А я один не понимаю смысла использования префиксов?
Мне кажется, какие-то левые аттрибуты у полей совершенно излишни, разве что за исключением собственно флага возможности автозаполнения (впрочем, в HTML5 это уж реализовано). Достаточно выработать некоторые рекомендации по именованию самих полей.
Насколько я понял, rfc 4112 подобные рекомендации для именования полей и предлагает.
Последняя (на данный момент) версия LastPass также поддерживает аттрибут autocompletetype:

— Support for the autocompletetype attribute
Ссылка на RFC 4112 сломана.
Почему, работает.
Действительно. Видать локальные проблемы были.
Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Публикации

Истории