This is why I don't like autofill in web forms. #phishing #security #infosec pic.twitter.com/mVIZD2RpJ3
— Viljami Kuosmanen ⭐ (@anttiviljami) 2017年1月4日
流れとしては、
- CSSでフォームの一部を隠す
- ブラウザのオートコンプリート機能を使って名前等を入力する
- 送信ボタンを押すと、住所などの意図しない情報まで送信されている
といった感じです。 anttiviljami/browser-autofill-phishing から実際に試すことができます。自分も、住所や電話番号が抜かれていることが確認できました。
どう対処するか?
こういった方法がある以上、現状だとブラウザのオートコンプリート機能を使わない、以外に対処法はなさそうです(一応、ソースを見れば分かるかもしれませんが・・・)。
自分はあまり意識したことがなかったので、今後は気をつけようと思います。