[pontus]

WHAT Working Group vill ha kommentarer på Web Forms 2.0.

[festiz]

Citat:

name
Some names (all starting with the string "Ecom_") in this version of HTML forms have predefined meanings, allowing UAs to fill in the form fields automatically. These names, and their semantics, are described in [RFC3106].

Det där verkar ju lite farligt, tänk er följande scenario:

Kod:

Pelle Testman fyller i en massa känsliga uppgifter i ett par stycken Forms på låt säga Paynova eller liknande då han vill att hans bankkort ska kopplas till hans paynova-plånbok. Allting fungerar jättefint!

En dag går Pelle in på en sida som han inte borde besöka eftersom hans fru inte gillar det (Läs elaka porrsidor). Denna sida som han gick in på har en liten hacker satt upp och han har dragit ner massor av bilder och filmklipp på söta tjejer. På sin startsida har han en massa forms som är hidden men som har de där roliga namnen. 
Pelle klickar på en stylad knapp som det står "Start tour" på och vips så är all hans viktiga bankinformation processad och lagrad i en databas för användade till illegalt bruk.

[pontus]

Citat:

The on value means the UA is allowed to store the value entered by the user so that if the user returns to the page, the UA can pre-fill the form. The off value means that the UA must not remember that field's value.

A UA may allow the user to disable support for this attribute. Support must be enabled by default, and the ability to disable support should not be trivially accessible, as there are significant security implications for the user if support for this attribute is disabled.

Banks frequently do not want UAs to pre-fill login information:

Kod:

<p>Account: <input type="text" name="ac" autocomplete="off" /></p>
<p>PIN: <input type="text" name="pin" autocomplete="off" /></p>

Sedan finns 2 varianter.

Antingen fylls värden i automatiskt i när man kommer till sidan, men då brukar det vara begränsat till just det inloggningsformuläret på den domänen. Altså ingen fara.

Ett annat alternativ är en global version, att alla formulär med t.ex namet "user" över hela webben fylls i automatiskt, men då bruker man behöva skriva första bokstaven eller göra något annat aktivt för att hämta data lagrat i UA. Så ditt alternativ är inte särskilt troligt.