【解決済】パスワード入力欄のautocomplete属性について

[Alicia]

パスワード入力欄のautocomplete属性についてお尋ねいたします。

公式の各テーマにおいて、過去にパスワード入力欄のautocomplete属性を「off」から「new-password」に変更されています。

Welcart Basic　バージョン: 1.7.7では、以下のページでの変更が確認できました。
wc_templates/cart/wc_customer_page.php
wc_templates/member/wc_new_member_page.php
wc_templates/member/wc_member_page.php
wc_templates/member/wc_changepassword_page.php

しかし、ログインページ　wc_templates/member/wc_login_page.php　では
45行目

<input type="password" name="loginpass" id="loginpass" class="loginpass" autocomplete="off" size="20" />

　となっていまして

ここだけ、autocomplete=”off”　のままですが、このままでよろしかったでしょうか？
他のページとの違いがよくわからず困惑しています。

確かにブラウザのオートコンプリート機能は便利ですし、セキュリティーリスクとの関係でトレードオフの関係にあるとも思います。一方で、オートコンプリート機能を停止することで、逆に覚えやすい（破られやすい）パスワードを使い回すユーザーが出てきたりと、かえって逆効果という意見もあるようです。とはいえ、カゴ落ちが増えるのも考えものなのですが・・・。

コルネ様のお考えはどうでしょうか？

現在、

会員パスワードの文字数制限8文字以上30文字以下　英大文字→含む　英小文字→含む　数字→含む　記号→含まない

で運用していますが、オートコンプリートを停止してると、厳しすぎでしょうか？　それとも緩いのでしょうか？　加減がわからず悩んでいます。

普段使っているテーマ（Welcart対応テーマ）は、テーマ制作会社に連絡したのですが修正しないそうなので、Welcart Basic をお手本に、素人ながら autocomplete 属性の修正を試みています。
autocomplete属性は[password1]が”off” のままで、[password2]は、autocomplete属性自体がありません。
パスワード変更ページでは、loginpass1、loginpass2　の両方にautocomplete属性がありません。

あったりなかったりで、何かしっくりこないんです。あまり気に掛けないでもよいものでしょうか？
その点、Welcart Basicは、現在では両方 “new-password” に統一されています。

もし他にも同じような悩みをお持ちの方がいらっしゃいましたら、助言をいただきたいです。

よろしくお願いします。

——————————————-
テスト環境
WordPress のバージョン：6.2.2
Welcart のバージョン：2.8.18
PHP のバージョン： 8.0.25
Welcart専用の拡張プラグインとバージョン：SKU Select 1.4.5 、WCEX Multi Price 1.3.1、WCEX Patch for AFC 6.0.3
ご利用の親テーマとバージョン :Welcart Basic 1.7.7
ご利用の子テーマとバージョン :
症状を確認したブラウザ：Chrome 114.0.5735.134
サーバー【重要】：（会社名、サービス名）Xserver シン・レンタルサーバー　ベーシック
——————————————–

[yskysmr]

Alicia 様

こんにちは。
ご意見いただきありがとうございます。仰るとおり公式テーマにおいて、チェックアウト遷移中のログインフォームのみ、”autocomplete” を “off” から “new-password” に変更いたしました。
大きな理由としましては、スマホのブラウザ（主にAndroid・Chrome）に限るのですが、スマホでのチェックアウト遷移中のログインページで、オートコンプリートのアカウント・パスワードを選択しただけでフォーム送信（”submit”）されて、ログイン処理が実行されます。ここで、ページ遷移が遅いサイトではログイン処理中に「ログイン」をタップして再度フォーム送信されてしまい、予期しない挙動が発生します。弊社の検証ではオートコンプリートのアカウント・パスワードを選択して素早く「ログイン」をタップすると、不定期的にトップページに遷移するという症状を確認いたしました。
スマホのブラウザの設定にもよるかと思いますが、既定値でオートコンプリートの値を選択しただけでフォーム送信される設定になっているようです。
試行錯誤した結果、”autocomplete” を “new-password” に変更しますと、自動でフォーム送信されることがなくなりましたので、このようになっています。
この症状（オートコンプリートのアカウント・パスワードを選択しただけで送信）が、マイページのログイン時には特に支障がないと判断いたしました。
ユーザー様のサイトにおいて、この変更が都合が悪いということであれば、お手数ですが子テーマ化していただき、wc_customer_page.php ページを直接編集していただければと思います。

[Alicia]

yskysmr 様

丁寧にご回答いただきましてありがとうございます。
想像していたよりも、もっと深い理由でした。
お陰様で、先ほど、ログインページ以外の該当ファイルをすべて「new-password」に変更して子テーマ化を完了しました。

素人の私には、公式テーマに倣うほうが身の丈に合っていると思いますので真似させていただきました。

この度はお世話になりまして誠にありがとうございました。

[yskysmr]

Alicia 様

ご理解いただきありがとうございます。そもそも弊社がテーマをリリースする時に、この変更はこういう理由であるということをちゃんと説明しなくてはいけませんでした。今後ともよろしくお願いいたします。

[投稿者]

投稿