Chrome - Warum werde ich nach dem Löschen von Browser-Cookies automatisch bei einer Web-App authentifiziert?

13

Ich greife mit Chrome auf eine Webanwendung zu. Wenn ich mich von der App abmelde und den gesamten Chrome-Verlauf / die Chrome-Cookies / usw. lösche (auch Flash-Cookies, die jetzt von Chrome im selben Bereich zum Löschen des Verlaufs verarbeitet werden) und dann erneut auf die Website zugreife, werde ich automatisch angemeldet, ohne dazu aufgefordert zu werden Referenzen.

Anschließend habe ich Chrome im Inkognito-Modus gestartet und konnte dasselbe Verhalten reproduzieren. Im Inkognito-Modus wurde ich jedoch zur ersten Anmeldung aufgefordert .

Die Webanwendung verhält sich in Internet Explorer 10 wie erwartet.

Einige Infos zur Bewerbung:

  • Es ist eine Sharepoint-Site mit NTLM-Authentifizierung
  • Die Anmeldeinformationen basieren auf Active Directory, da der Benutzername Domäne \ Benutzername lautet
  • Meine Verbindung erfolgt über das Internet und es besteht keine AD-Beziehung zwischen meinem lokalen Windows-Konto und meinem Windows-PC. Mit anderen Worten, ich (dh mein lokal angemeldeter Benutzer und mein PC) sind in keiner Weise Teil ihrer AD-Domäne.
  • Auf der Site wird SSL auf Port 443 ausgeführt

Warum authentifiziert mich Chrome möglicherweise automatisch?

google-chrome security browser internet-explorer authentication Howiecamp
quelle
Wenn es AD verwendet, wird wahrscheinlich keine einfache HTTP-Authentifizierung verwendet. Wenn Sie Ihre AD-Anmeldeinformationen bereits authentifiziert haben, fordert Chrome Sie wahrscheinlich nicht auf, die automatische Aktivierung erneut durchzuführen.
Ramhound
@ Ramhound - Guter Fang. Ich habe mit F12-Tools überprüft, ob die NTLM-Authentifizierung verwendet wird. Aber wie erinnert sich die Site auf jeden Fall an mich, wenn ich alle Browser-Cookies lösche? Es muss noch einen Sitzungsmechanismus geben, um festzustellen, dass ich dieselbe Person wie zuvor bin. Zur Verdeutlichung: Meine einzige Authentifizierung erfolgt über den Browser. Ich authentifiziere mich beispielsweise nicht auf andere Weise mit ihrer Domain und es besteht keine Beziehung zwischen meinem Computer und ihrer Domain.
Howiecamp
@Ramhound - Vergessen Sie auch nicht , dass der IE ist mir wieder aufgefordert.
Howiecamp
Verwenden Sie Fiddler oder Wireshark, um festzustellen, ob die automatische Kerberos / SPNEGO-Authentifizierung mit Ihren Anmeldeinformationen durchgeführt wird (suchen Sie nach www-authentication:HTTP-Header usw.). Möglicherweise wird Ihr Login aufgrund der IP-Adresse oder Ähnlichem zwischengespeichert. Dies ist wirklich ein Problem, das Sie auf der Serverseite debuggen müssen, aber zumindest auf der Clientseite können Sie sehen, welche Art von Authentifizierung (falls vorhanden) in einer sauberen Sitzung durchgeführt wird und welche Informationen (falls vorhanden) Sie benötigen Der Browser sendet an die Gegenstelle.
Allquixotic
1
It's a Sharepoint site using NTLM authentication- Der gesamte Punkt der NTLM-Authentifizierung besteht darin, dass Sie nicht zur Authentifizierung aufgefordert werden. Ihre Anmeldeinformationen werden automatisch weitergegeben. Wenn Sie sich als ein anderer Benutzer authentifizieren möchten, starten Sie Ihren Browser neu und führen Sie ihn als einen anderen Benutzer aus.
Zoredache

Antworten:

5

Ich habe das gleiche Problem. Früher habe ich mich bei einer Website mit Anmeldeinformationen angemeldet, jetzt kann ich mich nicht mehr mit anderen anmelden. Wenn ich mich abmelde und versuche, mich erneut anzumelden, wird der Autorisierungsheader von Chrome automatisch ohne Rückfrage eingefügt. Die Site verwendet die lokale Benutzerdatenbank (kein AD, sondern eine reine .htpasswd-Datei) und verwendet die Standardauthentifizierung.

Ich habe bereits versucht, alle Cookies und gespeicherten Passwörter zu löschen. Kein Glück. Und dies geschieht nur auf Chrome und nur auf einem PC (auf anderen PCs in Chrome mit meinem Google-Konto funktioniert es ordnungsgemäß und fordert nach der Anmeldung Anmeldeinformationen an)

Ich habe eine Problemumgehung für das Problem gefunden, da mein Hauptziel darin bestand, mich als ein anderer Benutzer zu authentifizieren. Ich habe den Fiddler ausgeführt und dort Haltepunkte aktiviert. Also habe ich auf Anfrage mit Authorization-Header eine 401-Antwort erzwungen und so das Authentifizierungsfenster geöffnet. Dann habe ich die erforderlichen Anmeldeinformationen angegeben und mein Problem wurde behoben.

Die Frage, wo diese Anmeldeinformationen gespeichert sind, wird jedoch nicht beantwortet

Ralfeus
quelle
2

Diese Site verwendet wahrscheinlich lokalen Speicher [1] [2], der Cookies für HTML5 gleicht.

Es wurde gefragt , wie der lokale Speicher gelöscht werden soll. Leider enthält Chrome derzeit keinen lokalen Speicher im Dialogfeld " Browserdaten löschen ". In der Zwischenzeit können Sie dies manuell tun, indem Sie die dieser Site entsprechenden Dateien im Local StorageOrdner Ihres Benutzerdatenverzeichnisses löschen .

Synetech
quelle
0

Deaktivieren Sie in den Chrome-Einstellungen das Kontrollkästchen "Hintergrund-Apps weiterhin ausführen, wenn Google Chrome geschlossen ist" und löschen Sie die Browserdaten.

Fergara
quelle
0

Dies beantwortet die Frage nicht, ist jedoch eine Problemumgehung zum Ändern der Anmeldeinformationen:

  1. Gehen Sie zu Internetoptionen
  2. Klicken Sie auf die Registerkarte Sicherheit
  3. Klicken Sie auf Ihre Vermutung, in welcher Zone sich die Website Ihrer Meinung nach befinden könnte. Für mich habe ich die falschen Anmeldeinformationen auf einer Intranet-Website verwendet und meine Domain-Administratoren haben die URL automatisch zu "Lokales Intranet" hinzugefügt. Ich hatte überhaupt keine Berechtigung zum Bearbeiten von "Sites", ich konnte zumindest nachsehen.
  4. Klicken Sie für diese Zone auf "Stufe anpassen ...".
  5. Scrollen Sie ganz nach unten und wählen Sie "Nach Benutzername und Passwort fragen"
  6. Klicken Sie zum Speichern auf "OK"
  7. Starten Sie Chrome neu, damit die neuen Einstellungen übernommen werden
  8. Navigieren Sie direkt zu der betreffenden Website.
    Zuerst wurde ich aufgefordert, die Haupt-Intranet-Website (meine Homepage) aufzurufen und meine Anmeldeinformationen einzugeben. Dann habe ich auf einen Link für die betreffende Site geklickt, der dieselbe Domain, aber eine andere Subdomain hat. Ich wurde nicht erneut aufgefordert. Ich habe Chrome erneut gestartet und die erste Aufforderung abgebrochen. Als ich direkt zur betreffenden URL navigierte, wurde ich dazu aufgefordert und konnte meine Anmeldeinformationen für diese Site ändern.
  9. Sobald Sie sich erfolgreich mit dem "richtigen" Konto authentifiziert haben, können Sie die Einstellungen für die automatische Anmeldung wieder ändern, da Chrome jetzt die neuesten Anmeldeinformationen kennt.

Gutschrift für die Idee geht an https://sysadminspot.com/windows/google-chrome-and-ntlm-auto-logon-using-windows-authentication/

Emraginen
quelle