Hebikuzure's Tech Memo

2013年12月28日

IE11 では “autocomplete=off” が無視される場合がある

Filed under: Internet Explorer — hebikuzure @ 6:18 PM

autocomplete attribute | autocomplete property
http://msdn.microsoft.com/en-us/library/ie/ms533486.aspx


Internet Explorer 11 では既に多く話題になっているように色々な動作変更が含まれていますが、まだあまり話題になっていないような変更点について一つ紹介したいと思います。

Internet Explroer を含む多くのブラウザーにはオートコンプリート機能があり、Web ページ上のフォームに入力したデータをブラウザー側で記憶しておき、同じフォームが表示された際に自動的に記憶したデータを自動的に入力できます。これはユーザー名とパスワードを入力するログオン画面で特に便利でしょう。

このオートコンプリートの動作を Web ページから制御する方法として、入力する要素 (タグ) に autocomplete 属性を設定する事が可能です。例えば

<input type="password" autocomplete="off">

とする事で、このパスワード入力フォームでのオートコンプリートを無効にする事ができました。(ただしこの autocomplete 属性は W3C の HTML 標準には含まれません。WHATWG ではより機能を拡張した autocomplete 属性が提示されています)

Internet Explorer 11 ではこの属性の動作に変更が加えられ、input type=password フィールドでは off が指定されていても無視されるようになりました。つまり autocomplete 属性を利用してパスワード オートコンプリートを無効にする事ができなくなりました。この事は MSDN の HTML/XHTML リファレンスに以下のように記載されています。

“As of Internet Explorer 11, the autocomplete property is no longer supported for input type=password fields.”
(http://msdn.microsoft.com/en-us/library/ie/ms533486.aspx)

この動作変更の理由について、元 IE 開発チームの Eric Lawrence さんがブログで解説しています。簡単に要約すると、以下のような理由です。

  • 現実の Web ではセキュリティーの確保のためより複雑で強力なパスワードを利用する事が必要になってきている
  • しかし強力で複雑な (従って文字数も多い) パスワードをユーザーが記憶しておく事は難しい
  • そのためパスワード マネージャーの補助なしにユーザーに複雑で強力なパスワードを利用させる事は困難である
  • そこでパスワードについては (Web サイトの指定に関わらず) オートコンプリートを有効にしてパスワードが記憶できるようにした方が、ユーザーのセキュリティー確保の観点から好ましい。

これに加えて、パスワード オートコンプリートが機能しない場合、ユーザーはそれが Web ページの指定による動作であるとは思わず、ブラウザーの機能が壊れていると考え、そのためのトラブルシュートに時間を費やす場合が少なくない事も影響しているようです。

どうしてもブラウザーにパスワードの記憶をさせたくない場合は、input type="password” フィールドを利用せず、input type="text" など他の種類のフィールドや、contentEditable 属性を true にした要素にパスワードを入力させるようにします。ただしその場合は入力値のマスクはされないので、自力で (CSS や JavaScript などを利用して) 同等の動作をさせる必要があるでしょう。

パスワードをローカルに保存する事の危険性より、現実には弱いパスワードを利用する事の危険性の方が高いという考え方は正しいと思います。また複雑で強力なパスワードを使いまわし無しに利用するにはいずれにせよ何らかの補助機能が無ければ現実的でないので、ブラウザーでだけオートコンプリートをオフにしても結局別の補助手段が利用される訳で意味が無いのも確かなので、この動作変更は妥当ではないかと思うのですが、如何でしょう。

広告

コメントする »

まだコメントはありません。

RSS feed for comments on this post. TrackBack URI

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中

WordPress.com Blog.

%d人のブロガーが「いいね」をつけました。