iOS7 Safariのパスワード記憶は。。 2013年11月26日

A password key?
“A password key?” photo by Dev.Arka

会社ではMS製品のNTLM認証のプロキシ配下でWiFiにつなげてインターネットに出ていた僕のiPad Airですが、前々からプロキシの認証をユーザID/パスワードを入れて、さらに「パスワードを記憶する」にチェックを入れてクリアしても事あるごとにパスワード認証のプロンプトが表示されて非常にうっとおしかった。多分、Appleの製品の場合Credentialがうまく引き継がれないのとバックで動いているプロセスの通信が再度プロキシ認証に引っかかっているのだと思う。

一日に何度もユーザ名パスワードの入力を促すウィンドウが表示されてその度に結構複雑な文字列を設定しているパスワードを入力していて、
さすがにめんどくさくなって、自動でプロキシのパスワードプロンプトに指定したユーザ名とパスワードを入れるアプリでも作るかな、と思ったが、既にあるような気がしたので見てみたら、iOS側のSafariの標準機能でパスワードの自動入力の機能があった。

まあ、Web上でのパスワード入力とプロキシのパスワード入力は動作のレイヤーが違うと思うので対応できないだろうなと思いつつ「設定」ー「Safari」ー「パスワードと自動入力」ー「ユーザ名とパスワード」をオンにして見たら、それ以降ほとんどパスワードを聞いてこない。ああ、なんだとっても快適じゃないか。普通にiOSの標準機能で対応できるじゃないか。

と思ってたら「ユーザ名とパスワード」の下にある「保存されたパスワード」というのを見てみてビックリ。iOSのパスコードの入力が必要なのではあるが(パスコードをiPadに登録してなければ聞かれない)、保存されてるパスワードを開くとなんと普通に平文でパスワードが表示されていた。

さすがにこれは怖い。。。ストアしているパスワードを”**”などの伏字で表示するならともかく平文で読める状態で表示するのはイカン。。なんでわざわざ平文表示してるんだろう??普通パスワードストアしてたら伏字表示して、「こことここのサイトのパスワードは保持してて入力の必要はないですよー。でもリスクも把握しといてねー。」ということでわざわざユーザに見える形にしなくてもブラウザなどで該当のサイトと関連付けておいて、そのサイトを開いた際にはブラウザが自動でfill inすればユーザで見えている必要もなく問題ないはずなのに。。。

というわけでちょっとこの仕様がイマイチ理解できないっす。とりあえず僕のiPad Airは該当のプロキシの認証だけは記憶させて、それ以外は記憶させないようにして、パスコードも数字4桁よりも複雑なもう一段階上のパスワードを設定しておきます。。。ホントはオフにしといたほうがいいと思うけど、まあ、利便性との天秤ですなぁ。。。