Ein Wow-Effekt weniger
Safari, Face ID und Logins: Unter iOS 11.3 etwas umständlicher
ifun.de-Leser Steffen macht auf ein relativ neues Verhalten des iPhone X aufmerksam, mit dem vor allem jene Nutzer konfrontiert sind, die ihre Online-Logins in Apples iCloud-Schlüsselbund speichern.
Surfen diese mit Apples Safari-Browser mobile Webseiten an, die einen Login des Benutzers voraussetzen, ist seit der Ausgabe von iOS 11.3 ein zusätzlicher Handgriff nötig.
Steffen schreibt:
Hi Zusammen, ist euch auch schon aufgefallen, dass seit einiger Zeit mit einem iPhone X und entsprechenden Face-ID Einstellungen, User und Passwort nicht mehr automatisch direkt beim Öffnen einer Safari-Anmeldeseite gefüllt werden?
Kurz zur Erklärung: In bisherigen Versionen des mobilen iOS 11-Betriebssystems konnten sich Safari-Anwender quasi per Autopilot durchs Netz navigieren und wurden auf all jenen Seiten automatisch eingeloggt, zu denen gesicherte Anmeldedaten im iCloud-Schlüsselbund vorhanden waren.
Der Ablauf bislang:
- Nutzer öffnet eine Webseite in Safari, die über einen Anmeldebereich (Nutzername und Passwort) verfügt.
- Waren Anmeldedaten hinterlegt, startete Face ID automatisch.
- Verlief die Gesichtserkennung erfolgreich, wurden Nutzername und Passwort automatisch ausgefüllt.
- Der Anwender musste den Anmeldevorgang abschließend nur noch mit einem Tap auf den Login-Button bestätigen.
Seit der Ausgabe von iOS 11.3 erwartet das iPhone X zwei zusätzliche Handgriffe seiner Anwender. Erst wenn diese einen Login-Datensatz aktiv ausgewählt haben, startet die Face ID-Autorisierung.
So läuft der Vorgang jetzt folgendermaßen ab:
- Nutzer öffnet eine Webseite in Safari, die über einen Anmeldebereich (Nutzername und Passwort) verfügt.
- Nutzer tippt im Login-Bereich das Feld zur Eingabe des Nutzernamens an.
- Oberhalb der iPhone-Tastatur werden nun mögliche Logins angeboten.
- Erst wenn hier ein Login gewählt wurde, startet Safari die Face ID-Autorisierung.
- Verläuft diese Erfolgreich, werden Nutzername und Passwort automatisch ausgefüllt.
- Auch jetzt muss der Anwender den Anmeldevorgang abschließend noch mit einem Tap auf den Login-Button bestätigen.
Steffen konstatiert:
Das ist für mich ein relativ unnötiger Schritt zusätzlich. Finde ich sehr schade. Könnt ihr das bestätigen? Ich habe auch schon in den Einstellungen gesucht, konnte aber keinen Punkt finden um das alte Verhalten wieder herzustellen. Dass es wie von mir beschrieben funktioniert hat, weiß ich ganz genau, da dies bei der Face ID-„Präsentation“ vor Freunden und Bekannten immer zu einem „Wow!“-Effekt geführt hat.
Nachvollziehbar. Die Antwort fällt aber leider negativ aus. Wiederherstellen lässt sich das alte Verhalten nicht.
Apple scheint mit dem Umbau der Face-ID Autorisierung auf Fehlerberichte von Anwendern reagiert zu haben, die bei ihren Ausflügen im Netz häufig von einem automatischen Face ID-Start überrascht gleichzeitig aber auch enttäuscht wurden. So neigte Apples Automatismus dazu, auch auf Seiten zu starten, in denen Anwender bereits eingeloggt waren oder startete auf Seiten, zu denen zwar Account-Informationen im iCloud-Schlüsselbund vorhanden waren, die im aktuellen Fall aber keine Login-Formular bereithielten.
Immerhin: Die ebenfalls kursierende Vermutung, dass Werbetreibende den Auto-Login zudem zum Tracken von Anwendern missbrauchten, wurde bislang nicht bestätigt.
Ich finde das Verhalten von iOS 11.3 praktischer. Der „Auto-Login“ hat mit auf manchen Seiten tierisch genervt. Der Nutzen ist ziemlich gering. Der Login ging sogar manchmal los obwohl kein Login-Formular ersichtlich war. Ich halte die alte Vorgehensweise auch etwas Sicherheitsbedenklicher.
gab es auf ifun nicht einen bericht über eine sicherheitslücke, wonach unsichtbare formulare dazu missbraucht wurden, unbeabsichtigte logins auf diese weise durchzuführen? mit diesem zusätzlichen schritt ist das glücklicherweise nicht mehr möglich.
In wie fern Sicherheitsbedenklicher?
Zum einloggen in Internetseiten ist ja trotz Automatisierung immer noch das richtige Gesicht erforderlich.
Siehe den Kommentar von Thomas über dir. Mit einem Versteckten Formular können Logins abgefischt werden…
Das habe ich auch festgestellt, aber ich vermute, dass Apple so die Möglichkeit einbauen wollte, über der Tastatur mehrere Login-Möglichkeiten anzubieten! Ich fand diese Änderung gut, denn nun werden mir (falls vorhanden) meine verschiednen Logins angeboten, zum
Beispiel verschiedne Mail-Accounts beim selben E-Mail-Service…
Da gebe ich dir recht. Hätte aber auch genügt wenn diese Auswahl nur kommt wenn mehrere Logins für eine Webseite vorhanden sind.
Waren mehrere Hinterlegt wurde immer der Zuletzt verwendete automatisch eingetragen. Einen anderen konntest du so wählen wie du es jetzt immer tun musst.
Is ja auch ein Sicherheitsmerkmal
Wenn die Website manipuliert wurde, kann z.B. ein Javascript die Logindaten ja auslesen und weiterreichen.
Richtig verifiziert werden diese ja erst vom Server.
Ja:
Hier noch mehr Infos
https://www.cultofmac.com/538447/ios-11-3-safari-security/
Genau so hatte das Apple doch wohl auch kommuniziert, dachte ich…
Genau, Apple hat das für Safari kommuniziert. Dass das auch für Face-ID gilt ist nur logisch.
Seit dem letzten Update werden gespeicherte Logins auch in Safari@MacOS nicht mehr automatisch ausgefüllt. Evtl. Sicherheitsfeature, um bspw. Tracking ohne Login und ohne aktives Zutun des Nutzers zu verhindern?
ich glaube auch, dass das eher mit dem Thema Sicherheit zu tun hat!
Ist mir auch aufgefallen- finde ich extrem nervig und umständlich! Bei Seiten die man öfters am Tag ansurft, die einen aber nach wenigen Minuten Inaktivität automatisch raushauen sehr nervig!
Finde ich gut, da mehr Sicherheit gewährleistet wird.
Ich fand den ursprünglichen Ablauf vor iOS 11.3 deutlich angenehmer und komfortabler.
Die zusätzlichen 2 Klicks sind unnütz…
Das ist auch ohne FaceID so. Erst ins Loginfeld tippen dann Login auswählen usw.
Guckt mal in Eurem Artikel hier relativ weit unten unter der Überschrift „Safari“ auf den ersten Punkt. ;-)
https://www.iphone-ticker.de/ios-11-3-ist-da-alle-neuerungen-und-verbesserungen-im-ueberblick-124415/
Ich finde es jetzt besser da sicherer und man die Möglichkeit hat, mit verschiedene Accounts auf einer Website einzuloggen.
Weis einer vielleicht, das wenn man seine E-Mail und pw in der cloud abspeichert. Warum man da als zusatz Namen immer nur 2 Buchstaben festlegen kann? Hoffe konnte es gut genug erklären :)
Hat Apple aber entsprechend kommuniziert:
Safari
Helps protect privacy by only AutoFilling usernames and passwords after selecting them in a web form field
Quelle: https://support.apple.com/en-us/HT208067#113
Ich finde das neue Verhalten besser weil einige Websiten auch noch von einer Freundin von mir mit login und Passwort genutzt werden. Jetzt kann ich nämlich selbst wählen welsche Login ich nutze. Vorher musste ich erstmal das automatisch ausgefüllte Login Fenster löschen und dann die Daten v. der Susanne eintragen. So kann ich jetzt mit einem einfachen Tap aussuchen welche Login Daten ausgefüllt werden sollen.
Ja es ist ein Security-Feature, auch der Safari auf macOS hat in der neusten Version das Verhalten. Und es geht genau darum, dass komplett automatisch ausgefüllte Anmeldeformulare von einem boshaften JavaScript schon ausgelesen werden können, ohne dass der Login-Button überhaupt geklickt wurde. Und ja, höhere Sicherheit geht oft zu Lasten der Bequemlichkeit, sollte aber dennoch in Kauf genommen werden.
Nö, sollte jeder Nutzer selbst entscheiden dürfen.
Sicherheitsfeature. Ich meine auch irgendwo (hier?) gelesen zu haben dass es Seiten gibt die mit unsichtbaren Feldern Login Daten abfischten..
Ah ich hatte da was in den Release Notes von iOS 11.3 gelesen:
Eine in böser Absicht erstellte Website kann automatisch ausgefüllte Daten in Safari ohne ausdrückliche Benutzerinteraktion exfiltrieren.
https://support.apple.com/de-de/HT208693
Off topic. Apropos FaceID: Warum gibt es eigentlich zwei verschiedene Versionen dieser Gesichtsdarstellung (3D wie oben gezeigt und „platt“)?
Ein ähnliches Verhalten gbit es auch auf dem Mac. Seit dem letzten Update werden meine Felder bei Login Webseiten auch nicht mehr automatsich gefüllt sondern ich muss erst auf den Schlüssel klicken und dann kann ich den Login auswählen.