Discussion :

[Olivier P.]

Bonjour,

Lorsque un utilisateur s'authentifie sur mon site MVC, une popup du navigateur "pop" pour lui proposer de sauvegarder son password.
(Sur Chrome, mais aussi sur les autres navigateurs).

Quel est le déclencheur de cette popup ?
Comment le navigateur sait-il que les 2 champs en question sont un userName et un password ?

J'ai d'abord cru qu'il repère un éventuel input type="password" mais ce n'est pas le cas.

Je constate que la popup apparait une fois le mécanisme d'authentification effectué sur le serveur.

Quel est le déclencheur ? Il y a forcément un truc

Je sèche....

Merci

[DotNetMatt]

Ce mécanisme est propre à chaque navigateur, mais on peut identifier 3 points communs :
- Les textbox doivent être déclarée dans un formulaire qui utilise la méthode POST.
- Pour identifier le textbox du mot de passe, le navigateur va récupérer le textbox ayant l'attribut type="password".
- Pour identifier le textbox du nom d'utilisateur, c'est là où il y a le plus de différences, mais en général c'est le champ qui est situé juste avant le champ password dans l'arbre DOM. Il est rare de se voir d'abord proposer de taper le mot de passe, puis le login... Il peut y avoir des dysfonctionnements mais là encore certains navigateurs intègrent un peu plus de logique pour localiser ce textbox...

La raison pour laquelle la barre apparait après que l'authentification ait été réalisée est toute bête : si l'authentification échoue, il n'y a pas d'intérêt à proposer de stocker les identifiants. Donc lorsque l'authentification réussit, en général on retourne un code HTTP 302 (redirect) afin de rediriger l'utilisateur vers la page à laquelle il peut accéder une fois identifié. Ce n'est pas toujours le cas, mais dans la majorité des cas c'est ce qui se passe.

Pour Chrome, s'il n'y a pas de POST (et donc la redirection qui s'en suit), le navigateur ne proposera pas de sauvegarder le mot de passe. C'est souvent le cas avec AJAX si le submit du formulaire ne se fait pas. Il est possible de le faire en suivant les infos fournies ici : How can I get browser to prompt to save password?

[Olivier P.]

Merci pour ton retour,

Bien vu le coup du 302 !

C'est en effet une combinaison de plusieurs choses. Mais au final, ceci reste une "supposition" non fiable à 100%

Par exemple, après avoir fait quelques tests, on peut facilement duper le browser.

Un formulaire, avec 2 champs, dont un type Password, mais pas de redirection ==> pas de popup.
Un formulaire, avec 3 champs, dont un type Password + redirection ==> pas de popup.

De la même manière, il sera capable de pré-remplir les champs (au deuxième passage), uniquement s'ils sont au nombre de 2 dans le formulaire...

Ces tests sont issus de Chrome.