这是一个创建于 2496 天前的主题,其中的信息可能已经有所发展或是发生改变。
今天看到这个消息,说是广告商正在通过使用不可见的 form 来捕捉密码管理工具自动填充的数据。
本人还是挺依赖这个功能的,看来以后还是不要再用了。
 |
1
wtbhk 2018-01-02 12:37:14 +08:00 via Android  1
密码填充软件首先判断域名的啊
|
 |
3
Lothar 2018-01-02 12:49:51 +08:00
细想似乎真有可行性..
|
 |
4
xenme 2018-01-02 12:50:52 +08:00
1. block 了各种广告以及追踪的请求和域名
2. 1password,手动 fill 3. 每家都是独立的,发现一家干掉一家就好了,没什么大不了的。 |
 |
5
hugee 2018-01-02 12:53:06 +08:00 via Android
一直对自动忌惮
|
 |
6
tony1016 2018-01-02 13:06:29 +08:00
用户名可以抓,密码怎么抓呢??
|
 |
7
coolcoffee 2018-01-02 13:11:23 +08:00
这个在 lastpass 上出现过一次可以伪造域名导致扩展自动填充的, 但重要账户都是有二次验证了, 密码库被爆了也没太大关系
|
 |
8
ligyxy 2018-01-02 13:12:03 +08:00
|
 |
9
700388 2018-01-02 15:00:54 +08:00
没什么用的,自动填充,会判断网站才显示出来。网站不对,自动填充根本就不显示。随便伪造的网站,那倒是可以捕获密码,但是,随便网站密码的价值不大的话,密码也毫无用。
只要每个账户,密码不同,就算他拿到密码,也是个低权密码。 |
 |
10
lance6716276 2018-01-02 15:10:11 +08:00
我记得是 chrome 对 https 页面不会自动填充,需要手动用鼠标选那个候选项。http 页面会自动填充,但是 http 问题多的是呢,不差自动填充这一点
|
 |
11
Quaintjade 2018-01-02 15:28:20 +08:00
很早就在担心这种问题,终于有人这么做了。
|
 |
12
freewarcraft 2018-01-02 16:54:06 +08:00
在 edge 上用 1password,电脑从休眠中恢复后 1p 插件都无法启动,根本不担心自动填充的问题。。。
|
 |
13
AEANWspPmj3FUhDc 2018-01-02 17:14:07 +08:00
keepass 的自动填充就完全没有这种顾虑,推荐一下
|
 |
14
alexyangjie 2018-01-02 17:26:48 +08:00 2
这个四年多前就有人讨论过。当时写了一个 demo page, 刚才用 lastpass 最新版测试,依然中招。只要打开 auto fill 就会被脚本劫持。https://www.alexyang.me/demo/
|
 |
15
Xrong 2018-01-02 17:48:07 +08:00
@alexyangjie 1Password 测试中招
|
 |
16
peesefoo 2018-01-02 19:12:19 +08:00 via Android
待会测试一下 enpass
|
 |
17
tghgffdgd 2018-01-02 19:29:21 +08:00
|
 |
18
yongyuhi 2018-01-02 19:31:02 +08:00 via Android
最大的广告商就是谷歌啊
|
 |
19
paradoxs 2018-01-02 19:32:24 +08:00
@alexyangjie 这个是同域名的,不算是中招了吧?
|
|
20
alexyangjie 2018-01-02 20:10:14 +08:00
@tghgffdgd #17 所以广告商的危害很大,因为广告商就是跨域的。
|
|
21
alexyangjie 2018-01-02 20:10:27 +08:00
@paradoxs #19 见楼上
|
 |
22
yu099 2018-01-02 20:34:06 +08:00 via Android
@alexyangjie chrome 自动填充没问题诶
|
Select Language