Chrome - Pourquoi suis-je automatiquement authentifié auprès d'une application Web même après avoir effacé les cookies du navigateur?

13

J'accède à une application Web à l'aide de Chrome. Si je me déconnecte de l'application et efface tous les historiques / cookies / etc de Chrome (même les cookies Flash qui sont désormais gérés par Chrome dans la même zone Effacer l'historique), puis que je ré-accède au site, je suis automatiquement connecté sans être invité à identifiants.

J'ai ensuite lancé Chrome en mode navigation privée et j'ai pu reproduire le même comportement. Cependant , j'ai été invité lors de la première connexion en mode Incognito.

L'application Web se comporte comme prévu dans Internet Explorer 10.

Quelques informations sur l'application:

  • C'est un site Sharepoint utilisant l'authentification NTLM
  • Les informations d'identification sont basées sur Active Directory, car le nom d'utilisateur est domaine \ nom d'utilisateur
  • Ma connexion se fait via Internet et il n'y a pas de relation AD entre mon compte Windows local et mon PC Windows. En d'autres termes, je (c'est-à-dire mon utilisateur connecté localement et mon PC) ne fait en aucun cas partie de leur domaine AD.
  • Le site exécute SSL sur le port 443

Pourquoi Chrome pourrait-il m'authentifier automatiquement?

google-chrome security browser internet-explorer authentication Howiecamp
la source
Si elle utilise AD, il est probable qu'elle n'utilise pas l'authentification http de base. Si vous avez déjà authentifié vos informations d'identification AD, c'est probablement la raison pour laquelle Chrome ne vous demande pas d'authentifier à nouveau.
Ramhound
@Ramhound - Bonne prise. J'ai vérifié avec les outils F12 qu'il utilise l'authentification NTLM. Mais dans tous les cas, comment le site se souvient-il de moi si j'efface tous les cookies du navigateur? Il doit encore y avoir un mécanisme de session pour déterminer que je suis la même personne qu'auparavant. Juste pour clarifier, ma seule authentification est via le navigateur, par exemple, je ne m'authentifie d'aucune autre manière avec leur domaine et il n'y a aucune relation entre ma machine et leur domaine.
Howiecamp
@Ramhound - Aussi ne faut pas oublier que IE est me invite à nouveau.
Howiecamp
Utilisez Fiddler ou Wireshark pour voir s'il fait une authentification Kerberos / SPNEGO automatique avec vos informations de connexion (recherchez l' www-authentication:en-tête HTTP, etc.). Il peut s'agir de la mise en cache de votre connexion basée sur IP ou quelque chose. C'est vraiment un problème que vous devez déboguer côté serveur, mais au moins du côté client, vous pourrez voir quel type d'authentification (le cas échéant) il fait sur une session propre, et quelles informations (le cas échéant) votre le navigateur envoie au site distant.
allquixotic
1
It's a Sharepoint site using NTLM authentication- L'intérêt de l'authentification NTLM est que vous n'êtes pas invité à vous authentifier. Vos informations d'identification sont automatiquement transmises. Si vous souhaitez vous authentifier en tant qu'utilisateur différent, redémarrez votre navigateur et exécutez-le en tant qu'utilisateur différent.
Zoredache

Réponses:

5

J'ai le même problème. J'avais l'habitude de me connecter à un site Web avec des informations d'identification et maintenant je ne peux plus me connecter en utilisant d'autres. Lorsque je me déconnecte et tente de me reconnecter, Chrome place automatiquement l'en-tête Autorisation sans demander. Le site utilise une base de données d'utilisateurs locaux (pas d'AD mais un simple fichier .htpasswd) et utilise l'authentification de base.

J'ai déjà essayé de nettoyer tous les cookies et les mots de passe enregistrés. Pas de chance. Et cela ne se produit que sur Chrome et sur un seul PC (sur d'autres PC dans Chrome avec mon compte Google, cela fonctionne correctement et demande des informations d'identification après la connexion)

J'ai trouvé une solution à ce problème car mon objectif principal était de m'authentifier en tant qu'utilisateur différent. J'ai exécuté le Fiddler et activé les points d'arrêt là-bas. Donc, sur demande avec en-tête d'autorisation, j'ai forcé la réponse 401 et j'ai donc fait apparaître la fenêtre d'authentification. Ensuite, j'ai fourni les informations d'identification nécessaires et mon problème a été résolu.

Cependant, cela ne répond pas à la question de savoir où ces informations d'identification sont stockées

Ralfeus
la source
2

Ce site utilise probablement le stockage local [1] [2] qui est comme des cookies pour HTML5.

On lui a demandé comment effacer le stockage local, mais malheureusement, Chrome n'inclut pas actuellement le stockage local dans la boîte de dialogue Effacer les données de navigation . En attendant, vous pouvez le faire manuellement en supprimant le ou les fichiers correspondant à ce site dans le Local Storagedossier de votre répertoire de données utilisateur .

Synetech
la source
0

Décochez "Continuer à exécuter les applications en arrière-plan lorsque Google Chrome est fermé" dans les paramètres de Chrome et effacez les données du navigateur.

Fergara
la source
0

Cela ne répond pas à la question, mais c'est une solution de contournement pour modifier les informations d'identification:

  1. Accéder aux options Internet
  2. Cliquez sur l'onglet Sécurité
  3. Cliquez sur votre meilleure estimation pour quelle zone vous pensez que le site Web peut être sous. Pour moi, j'utilisais les mauvaises informations d'identification sur un site intranet professionnel, et mes administrateurs de domaine avaient automatiquement ajouté l'URL à "Intranet local". Je n'avais pas du tout la permission de modifier "Sites", je pouvais au moins regarder.
  4. Pour cette zone, cliquez sur "Niveau personnalisé ..."
  5. Faites défiler jusqu'en bas et choisissez "Demander le nom d'utilisateur et le mot de passe"
  6. Cliquez sur "OK" pour enregistrer
  7. Redémarrez Chrome pour qu'il récupère les nouveaux paramètres
  8. Accédez directement au site Web en question.
    Au début, on m'a demandé le site Web principal de l'intranet (ma page d'accueil) et j'ai entré mes informations d'identification. J'ai ensuite cliqué sur un lien pour le site en question, qui a le même domaine, mais un sous-domaine différent. Je n'ai pas été invité à nouveau. J'ai redémarré Chrome à nouveau, annulé hors de la première invite, et lorsque j'ai accédé directement à l'URL en question, j'ai reçu une invite et j'ai pu modifier mes informations d'identification pour ce site.
  9. Une fois que vous vous êtes authentifié avec le compte "correct", vous pouvez modifier les paramètres de connexion automatique, car Chrome connaît désormais les dernières informations d'identification.

Le crédit de l'idée va à https://sysadminspot.com/windows/google-chrome-and-ntlm-auto-logon-using-windows-authentication/

emragins
la source