(信頼できない)Webサイトでの自動入力
ホームページにログインフォームを表示するhttpsを使用するWebサイトを考えてみます。今日、私はログインとパスワードを持っているそのようなウェブサイトを訪れました、そして初めて、私は無効なSSL証明書に関する警告が表示されました。一方が他方のエイリアスであるかどうかを知らずにstackexchange.comにアクセスしていた場合、exchange.com).
別のルートでWebサイト管理者に通知しましたが、証明書の問題が解決するまでログイン(またはその他の詳細を入力)するつもりはありません。ただし、SSL証明書に関する警告が表示された後、クリックしてサイトが同じであるかどうかを確認しました。
ページは正常に見え、Chromeの自動入力機能によってユーザー名と隠されたパスワードが自動的に入力されました。
サイトが悪意のあるパーティーによって傍受または置き換えられた場合、そのパーティーはオートフィルからログイン情報を収集できますかなしユーザーがクリックしてログインしますか?
この動作はブラウザによって異なる可能性があります。
Chromeに関しては、少なくともパスワードについては)これらの値は入力したとおりに表示されますが、最初はサイトから提供されるJavaScriptでは使用できません。ページを操作したとき(どこかをクリックするときなど)その中)それです。
IE/Firefox(昨年末現在))の値はすぐに利用できるようになり、あなたが述べた問題に苦しむと思います。