Questi browser prevedono la possibilità di impostare dei dati da compilare in automatico quando richiesti nei form. Funzione comoda ma insidiosa: è possibile compilare anche campi invisibili a nostra insaputa e fornire altri dati sensibili
Chrome, Opera e Safari prevedono un’opzione molto comoda: l’autocompletamento.
In Chrome, andando su Impostazioni, cliccando sul link “Mostra impostazioni avanzate” ed estendendo la pagina, andando poi su “Password e moduli” si può attivare la funzione in questione flaggando su “Attiva la Compilazione automatica per compilare i moduli web con un solo click”.
Cliccando su “Gestisci impostazioni di Compilazione automatica” ci viene mostrata una finestra in cui possiamo inserire i nostri dati da caricare di default quando compiliamo un form.
Cliccando su “Aggiungi nuovo indirizzo civico…” è possibile inserire le informazioni che spesso inseriamo negli appositi campi richiesti.
Tornando alla schermata precedente sotto è possibile aggiungere i dati delle carte di credito ma, al fine della compilazione automatica, è necessario che questi siano registrati su Google Payments.
Non c’è alcun dubbio che questa funzione sia molto comoda dal momento che ci consente di inserire in automatico tutti i nostri dati mentre ci registriamo in un sito: basta iniziare a scrivere qualcosa nel primo campo e selezionando la voce che compare non appena cominciamo a scrivere. Ma c’è il rovescio della medaglia!
Uno sviluppatore finlandese,Viljami Kuosmanen, ha scoperto che questa funzione è molto comoda anche per chi volesse rubare tutti i dati inseriti nel browser, anche se ufficialmente non richiesti.
È possibile, infatti, che nella pagina siano presenti altri campi nascosti che verrebbero compilati all’insaputa dell’utente.
Qui è possibile trovare una demo: se i dati per la compilazione automatica sono impostati basta inserire il nome e verrà compilato anche il cognome. Questi sembrano gli unici dati forniti con l’autocompletamento ma, premendo sul tasto “Mostra tutti i campi compilati”, verrà mostrato un ulteriore campo valorizzato col numero di telefono, sempre che sia impostato tra i campi da compilare.
Firefox è immune da questo problema poiché la compilazione automatica avviene su un campo alla volta, in base ai valori inseriti più spesso.
Per lo sviluppatore web: il trucco dei campi nascosti
Non voglio certo incentivare questo tipo di imbroglio ma voglio spiegare in che modo possa essere sviluppato.
Diciamo subito che non funziona con i campi che hanno come proprietà css “display:none”, poiché questa rende qualsiasi elemento assente dalla pagina (solo a livello di disposizione degli elementi). Si può invece ricorrere a “opacity:0” e/o “height:0” e/o altre proprietà che lasciano i campi attivi, anche se invisibili.
Evitare l’autocompletamento o limitarlo a siti affidabili
Spiegato uno dei tanti meccanismi di presa dei dati in modo fraudolento, il consiglio è di servirsi di questa funzione solo su siti affidabili o dove la presenza di tutti i campi interessati dall’autocompletamento sia visibile in modo chiaro.