V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Leiothrix
V2EX  ›  浏览器

浏览器保存密码非常不安全

  •  
  •   Leiothrix · 2018-07-26 09:33:44 +08:00 · 5835 次点击
    这是一个创建于 2309 天前的主题,其中的信息可能已经有所发展或是发生改变。

    在审查元素模式下选中输入框把 type 从 password 改成 text 就可以看到保存的密码了。之前以为 Chrome 下至少需要一个 Windows 密码才能看到密码心里还舒服点,现在看到微博 @Bluegood 提到这件事,瞬间有了把所有上传到云端的密码删掉的想法。两步验证很重要啊,另外涉密的机器别让人碰。

    第 1 条附言  ·  2018-11-27 14:55:31 +08:00
    请大家注意一下,我提到的问题是在不需要「主机操作系统」密码的情况下,也能通过「审查元素」功能一步绕过密码验证查看保存过的密码,对于直接保存明文密码的站点来说,很危险,目前只在两个网站看到过不是明文保存的,一个是 CHH,另一个是一家银行网站。不仅仅是 Windows 这样,Mac OS 下的 Safari 同样有这个问题。欢迎理性讨论。
    22 条回复    2018-11-27 15:44:12 +08:00
    qingmumu
        1
    qingmumu  
       2018-07-26 09:52:44 +08:00
    第三方自动填写密码也一样的,都能打开你的浏览器用自动填写了,就不谈安全了吧?
    b821025551b
        2
    b821025551b  
       2018-07-26 09:53:57 +08:00   ❤️ 5
    很好用啊,我忘了密码就这么找回:doge:
    7654
        3
    7654  
       2018-07-26 09:56:01 +08:00
    浏览器 Firefox,chrome 都有一个全局密码啊
    ie 有 Windows 密码
    虽然都可以用 nirsoft 工具查看
    anyclue
        4
    anyclue  
       2018-07-26 09:58:49 +08:00
    之所以这样设计安全,前提是你的使用方式正确与否
    xycool
        5
    xycool  
       2018-07-26 10:05:52 +08:00
    那你为什么会给机会让别人做 F12 这种操作了
    zhuanzh
        6
    zhuanzh  
       2018-07-26 10:09:32 +08:00 via Android
    物理接触电脑了怎么都不安全嘛
    geying
        7
    geying  
       2018-07-26 10:10:10 +08:00
    记到脑子里才是最安全的 哈哈
    yukiww233
        8
    yukiww233  
       2018-07-26 10:30:53 +08:00
    物理接触并绕过你的操作系统密码了,本来就没有任何安全可言...
    iyangjiangming
        9
    iyangjiangming  
       2018-07-26 10:38:40 +08:00
    U2F,你值得拥有
    ptsa
        10
    ptsa  
       2018-07-26 10:40:25 +08:00
    chrome 查看密码 也就是系统密码不能二次验证吧
    geelaw
        11
    geelaw  
       2018-07-26 10:44:06 +08:00 via iPhone
    在电脑上输入密码非常不安全,用 GetWindowText 或者查看内存就知道密码了。#滑稽
    yangguoshuai
        12
    yangguoshuai  
       2018-07-26 10:44:40 +08:00 via Android
    楼主,地球很危险。。
    A3m0n
        13
    A3m0n  
       2018-07-26 10:47:34 +08:00
    把密码记在脑子里非常不安全,一个怀表,一个响指就知道密码了。
    gamexg
        14
    gamexg  
       2018-07-26 10:52:38 +08:00 via Android
    chrome 的确依赖于 windows 密码,密码被用 windows 当前用户加密了。
    你可以拷贝到其他电脑或者换个 windows 用户登录试试,就无法显示密码了。
    nihiue
        15
    nihiue  
       2018-07-26 13:42:35 +08:00 via Android
    你对安全的理解有问题
    Sparetire
        16
    Sparetire  
       2018-07-26 13:44:50 +08:00 via Android   ❤️ 2
    我发现我家的门非常不安全,我竟然可以用钥匙打开它,那别人不是也能用钥匙打开它了?
    ayconanw
        17
    ayconanw  
       2018-07-26 13:55:36 +08:00
    这个需要物理接触到你的设备,我认为不用太担心
    saran
        18
    saran  
       2018-07-26 14:06:22 +08:00 via Android
    所以为什么要有密码?
    Rekkles
        19
    Rekkles  
       2018-07-26 14:07:46 +08:00
    网站要登录非常不安全 我一登录居然就能查看到我的所有记录了
    icylogic
        20
    icylogic  
       2018-07-26 22:18:30 +08:00 via iPad
    Enpass/KeePass + Dropbox。不重要又经常会输的才会放浏览器(但关掉同步)和 iOS 的 keychain 里。
    Leiothrix
        21
    Leiothrix  
    OP
       2018-11-27 14:58:27 +08:00
    @Sparetire 能接触到你电脑的人,不需要钥匙也能查看密码,这个是问题所在。
    Sparetire
        22
    Sparetire  
       2018-11-27 15:44:12 +08:00
    @Leiothrix 能接触到你电脑的人, 你需要担心的不仅仅是查看密码, 你几乎需要担心所有的安全问题了, 如果你希望别人使用你的电脑, 但不希望看到你 Chrome 上的密码, 那你应当给他单独一个用户, 而不是登录自己的系统账号给他用. 但是讲道理, 在物理接触面前, 意义都不大
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3186 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 13:25 · PVG 21:25 · LAX 05:25 · JFK 08:25
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.