解決済パスワード入力欄のautocomplete属性について

フォーラム テンプレート(テーマ) 【解決済】パスワード入力欄のautocomplete属性について

  • このトピックには3件の返信、2人の参加者があり、最後にyskysmrにより5ヶ月、 1週前に更新されました。
4件の投稿を表示中 - 1 - 4件目 (全4件中)
  • 投稿者
    投稿
  • #100351
    Alicia
    参加者

    パスワード入力欄のautocomplete属性についてお尋ねいたします。

    公式の各テーマにおいて、過去にパスワード入力欄のautocomplete属性を「off」から「new-password」に変更されています。

    Welcart Basic バージョン: 1.7.7では、以下のページでの変更が確認できました。
    wc_templates/cart/wc_customer_page.php
    wc_templates/member/wc_new_member_page.php
    wc_templates/member/wc_member_page.php
    wc_templates/member/wc_changepassword_page.php

    しかし、ログインページ wc_templates/member/wc_login_page.php では
    45行目

    <input type="password" name="loginpass" id="loginpass" class="loginpass" autocomplete="off" size="20" />

     となっていまして

    ここだけ、autocomplete=”off” のままですが、このままでよろしかったでしょうか?
    他のページとの違いがよくわからず困惑しています。

    確かにブラウザのオートコンプリート機能は便利ですし、セキュリティーリスクとの関係でトレードオフの関係にあるとも思います。一方で、オートコンプリート機能を停止することで、逆に覚えやすい(破られやすい)パスワードを使い回すユーザーが出てきたりと、かえって逆効果という意見もあるようです。とはいえ、カゴ落ちが増えるのも考えものなのですが・・・。

    コルネ様のお考えはどうでしょうか?

    現在、

    会員パスワードの文字数制限8文字以上30文字以下 英大文字→含む 英小文字→含む 数字→含む 記号→含まない

    で運用していますが、オートコンプリートを停止してると、厳しすぎでしょうか? それとも緩いのでしょうか? 加減がわからず悩んでいます。

    普段使っているテーマ(Welcart対応テーマ)は、テーマ制作会社に連絡したのですが修正しないそうなので、Welcart Basic をお手本に、素人ながら autocomplete 属性の修正を試みています。
    autocomplete属性は[password1]が”off” のままで、[password2]は、autocomplete属性自体がありません。
    パスワード変更ページでは、loginpass1、loginpass2 の両方にautocomplete属性がありません。

    あったりなかったりで、何かしっくりこないんです。あまり気に掛けないでもよいものでしょうか?
    その点、Welcart Basicは、現在では両方 “new-password” に統一されています。

    もし他にも同じような悩みをお持ちの方がいらっしゃいましたら、助言をいただきたいです。

    よろしくお願いします。

    ——————————————-
    テスト環境
    WordPress のバージョン:6.2.2
    Welcart のバージョン:2.8.18
    PHP のバージョン: 8.0.25
    Welcart専用の拡張プラグインとバージョン:SKU Select 1.4.5 、WCEX Multi Price 1.3.1、WCEX Patch for AFC 6.0.3
    ご利用の親テーマとバージョン :Welcart Basic 1.7.7
    ご利用の子テーマとバージョン :
    症状を確認したブラウザ:Chrome 114.0.5735.134
    サーバー【重要】:(会社名、サービス名)Xserver シン・レンタルサーバー ベーシック
    ——————————————–

    #100355
    yskysmr
    キーマスター

    Alicia 様

    こんにちは。
    ご意見いただきありがとうございます。仰るとおり公式テーマにおいて、チェックアウト遷移中のログインフォームのみ、”autocomplete” を “off” から “new-password” に変更いたしました。
    大きな理由としましては、スマホのブラウザ(主にAndroid・Chrome)に限るのですが、スマホでのチェックアウト遷移中のログインページで、オートコンプリートのアカウント・パスワードを選択しただけでフォーム送信(”submit”)されて、ログイン処理が実行されます。ここで、ページ遷移が遅いサイトではログイン処理中に「ログイン」をタップして再度フォーム送信されてしまい、予期しない挙動が発生します。弊社の検証ではオートコンプリートのアカウント・パスワードを選択して素早く「ログイン」をタップすると、不定期的にトップページに遷移するという症状を確認いたしました。
    スマホのブラウザの設定にもよるかと思いますが、既定値でオートコンプリートの値を選択しただけでフォーム送信される設定になっているようです。
    試行錯誤した結果、”autocomplete” を “new-password” に変更しますと、自動でフォーム送信されることがなくなりましたので、このようになっています。
    この症状(オートコンプリートのアカウント・パスワードを選択しただけで送信)が、マイページのログイン時には特に支障がないと判断いたしました。
    ユーザー様のサイトにおいて、この変更が都合が悪いということであれば、お手数ですが子テーマ化していただき、wc_customer_page.php ページを直接編集していただければと思います。

    #100356
    Alicia
    参加者

    yskysmr 様

    丁寧にご回答いただきましてありがとうございます。
    想像していたよりも、もっと深い理由でした。
    お陰様で、先ほど、ログインページ以外の該当ファイルをすべて「new-password」に変更して子テーマ化を完了しました。

    素人の私には、公式テーマに倣うほうが身の丈に合っていると思いますので真似させていただきました。

    この度はお世話になりまして誠にありがとうございました。

    #100358
    yskysmr
    キーマスター

    Alicia 様

    ご理解いただきありがとうございます。そもそも弊社がテーマをリリースする時に、この変更はこういう理由であるということをちゃんと説明しなくてはいけませんでした。今後ともよろしくお願いいたします。

4件の投稿を表示中 - 1 - 4件目 (全4件中)
  • このトピックに返信するにはログインが必要です。