私は、ユースケースを十分に理解していなくてもOPの質問は有効であると仮定します。おそらく、営業担当者は、実際にパスワードを知らずにさまざまなアプリケーションにサインインできるエンタープライズパスワード管理ツールを使用している企業ユーザが心配しているのかもしれません。この場合、開発者ツールは従業員が何か悪意のある行為をすることを許可するかもしれない。社外のパスワードを取得して悪意のある人に渡したり、監査のコントロールが適切でないオフサイトからそのパスワードを使用することができます。
残念ながら、「Inspect Element」ペインでパスワードの表示を無効にしても、ユーザーはコンソールにコードを入力することで引き続きパスワードを取得できます。 Console.Log(Form.txtPassword)
。
テキストボックスのパスワード値を暗号化して別の場所(たとえばJavascript変数)に保存するような巧妙なコードを書いても、ユーザーは同じ種類のコードを使用してすべてのJavascript変数をダンプできます。
今、あなたはFacebookのように潜在的にdisable the Chrome consoleです。しかし、ユーザーはネットワークペインでパスワードを見ることができます。 Webサーバー上のアプリケーションを変更することなく、ある時点でパスワードをWebサイトに渡す必要はありません。
DeveloperToolsDisabledポリシーを使用してChrome開発ツールを完全に無効にすることをお勧めします。これはGroup Policyでレジストリに設定できます。その間、Fiddlerなどのトラフィックを表示できるツールのインストールを無効にする必要があります。
あなたはどのような問題を解決しようとしていますか?これはhtmlパスワード入力が機能する方法で、私はこれを回避する方法がないのではないかと考えています。唯一の方法は、すべてのキーストロークを暗号化することですが、暗号化ロジックはクライアント側で、脆弱性は同じです。 – Filburt
誰があなたのパスワードを隠していますか?それを入力している人ですか? – Blorgbeard
私はRemember me機能を実装しました。私の懸念事項は、誰かがサイトを開いたときに、そのユーザーが[Remember Me]チェックボックスをオンにしていた場合、パスワードフィールドがあらかじめ入力されていて、パスワードが開発者ツールによって識別できるということです。このシナリオでは、そのユーザーがパスワードを使用できるようになります。私はそれを開発者のツールにも表示するように制限して、セキュリティを確保したい。 –