Chrome: ¿por qué me autentico automáticamente en una aplicación web incluso después de borrar las cookies del navegador?

13

Estoy accediendo a una aplicación web usando Chrome. Si cierro la sesión de la aplicación y borro todo el historial / cookies / etc de Chrome (incluso las cookies Flash que ahora maneja Chrome en la misma área Borrar historial) y luego vuelvo a acceder al sitio, me conecto automáticamente sin que se me solicite cartas credenciales.

Luego lancé Chrome en modo de incógnito y pude reproducir el mismo comportamiento. Sin embargo , se me solicitó el primer inicio de sesión mientras estaba en modo de incógnito.

La aplicación web se comporta como se esperaba en Internet Explorer 10.

Alguna información sobre la aplicación:

  • Es un sitio de Sharepoint que usa autenticación NTLM
  • Las credenciales se basan en Active Directory, ya que el nombre de usuario es dominio \ nombre de usuario
  • Mi conexión es a través de Internet y no hay una relación AD entre mi cuenta local de Windows, mi PC con Windows. En otras palabras, yo (es decir, mi usuario conectado localmente y mi PC) no forman parte de su dominio AD.
  • El sitio ejecuta SSL en el puerto 443

¿Por qué Chrome podría autenticarme automáticamente?

google-chrome security browser internet-explorer authentication Howiecamp
fuente
Si está utilizando AD, es probable que no esté utilizando la autenticación básica http. Si ya autenticó sus credenciales de AD, esa es probablemente la razón por la cual Chrome no le está pidiendo que vuelva a autenticar.
Ramhound
@Ramhound - Buena captura. Verifiqué con las herramientas F12 que está utilizando la autenticación NTLM. Pero, en cualquier caso, ¿cómo me recuerda el sitio si estoy borrando todas las cookies del navegador? Todavía tiene que haber un mecanismo de sesión para determinar que soy la misma persona que antes. También para aclarar, mi única autenticación es a través del navegador, por ejemplo, no estoy autenticando de ninguna otra manera con su dominio y no hay relación entre mi máquina y su dominio.
Howiecamp
@Ramhound - Tampoco olvides que IE me está preguntando nuevamente.
Howiecamp
Use Fiddler o Wireshark para ver si está haciendo la autenticación automática Kerberos / SPNEGO con sus credenciales de inicio de sesión (busque el www-authentication:encabezado HTTP, etc.). Podría estar almacenando en caché su inicio de sesión basado en IP o algo así. Esto es realmente un problema que necesita depurar en el lado del servidor, pero al menos desde el lado del cliente podrá ver qué tipo de autenticación (si la hay) está haciendo en una sesión limpia y qué información (si la hay) su El navegador está enviando al sitio remoto.
allquixotic
1
It's a Sharepoint site using NTLM authentication- El objetivo de la autenticación NTLM es que no se le solicita la autenticación. Sus credenciales se pasan automáticamente. Si desea autenticarse como un usuario diferente, reinicie su navegador y ejecútelo como un usuario diferente.
Zoredache

Respuestas:

5

Tengo el mismo problema Solía ​​iniciar sesión en un sitio web con credenciales y ahora no puedo iniciar sesión con ningún otro. Cuando cierro la sesión e intento volver a iniciar sesión, Chrome coloca el encabezado de autorización automáticamente sin preguntar. El sitio usa una base de datos de usuarios locales (no AD pero archivo .htpasswd simple) y usa autenticación básica.

Ya intenté limpiar todas las cookies y las contraseñas guardadas. Sin suerte. Y esto sucede solo en Chrome y solo en una PC (en otras PC en Chrome con mi cuenta de Google funciona correctamente y solicita credenciales después del inicio de sesión)

He encontrado una solución para el problema, ya que mi objetivo principal era autenticarme como un usuario diferente. Ejecuté el Fiddler y habilité los puntos de interrupción allí. Entonces, a pedido con el encabezado de autorización, forcé la respuesta 401 y, por lo tanto, hice que apareciera la ventana de autenticación. Luego proporcioné las credenciales necesarias y mi problema se solucionó.

Sin embargo, no responde la pregunta de dónde se almacenan esas credenciales

Ralfeus
fuente
2

Ese sitio probablemente esté usando almacenamiento local [1] [2] que es como cookies para HTML5.

Se le preguntó cómo borrar el almacenamiento local, pero desafortunadamente, Chrome actualmente no incluye el almacenamiento local en el cuadro de diálogo Borrar datos de navegación . Mientras tanto, puede hacerlo manualmente eliminando los archivos correspondientes a ese sitio en la Local Storagecarpeta de su Directorio de datos de usuario .

Synetech
fuente
0

Desmarque "Continuar ejecutando aplicaciones en segundo plano cuando Google Chrome esté cerrado" en la configuración de Chrome y borre los datos del navegador.

Fergara
fuente
0

Esto no responde la pregunta, pero es una solución alternativa para cambiar las credenciales:

  1. Ir a Opciones de Internet
  2. Haga clic en la pestaña Seguridad
  3. Haga clic en su mejor opción para saber en qué zona cree que se encuentra el sitio web. Para mí, estaba usando las credenciales incorrectas en un sitio de intranet de trabajo, y los administradores de mi dominio habían agregado automáticamente la URL a "Intranet local". No tenía permiso para editar "Sitios" en absoluto, al menos podía mirar.
  4. Para esa zona, haga clic en "Nivel personalizado ..."
  5. Desplácese hasta el final y seleccione "Solicitar nombre de usuario y contraseña"
  6. Haga clic en "Aceptar" para guardar
  7. Reinicia Chrome para que recoja la nueva configuración
  8. Navegue directamente al sitio web en cuestión.
    Al principio se me solicitó el sitio web principal de la intranet (mi página de inicio) e ingresé mis credenciales. Luego hice clic en un enlace para el sitio en cuestión, que tiene el mismo dominio, pero un subdominio diferente. No me volvieron a preguntar. Reinicié Chrome nuevamente, cancelé la primera solicitud y, cuando navegué directamente a la URL en cuestión, recibí una solicitud y pude cambiar mis credenciales para ese sitio.
  9. Una vez que se haya autenticado correctamente con la cuenta "correcta", puede volver a cambiar la configuración para el inicio de sesión automático, ya que Chrome ahora conoce las últimas credenciales.

El crédito por la idea va a https://sysadminspot.com/windows/google-chrome-and-ntlm-auto-logon-using-windows-authentication/

emraginas
fuente