Lastpass 又爆安全漏洞了

何不用 http://keepass.info/ 乎?

看了貌似说：只影响 Firefox 用户

设置了两步验证安全么？ lastpass 的密码不是加密的么，拖到库了也得解密呀

补一个中文的链接： http://www.freebuf.com/news/110378.html

@onice

看了中文的，心凉了一节。 有优惠了入 1password 吧。

@ivmm 笑了，这是从一个屎坑跳得另一个屎坑？

@woshinidie 求建议

看完了，没什么关系。。。

不明白这和 lastpass 有什么关系。页面的 js 不安全的导致密码泄露，这锅怎么也不该 lastpass 来背。这个问题，换用哪个密码管理器能解决？
@ivmm

@just4test 1password 可以不走云

@ivmm 好好看看这个所谓的 bug ，页面 js 不安全。在提交的时候把你的密码泄露。你手动输入密码也会泄露。

@woshinidie +1
这跟买理财产品其实是一样的，当物资交到别人手里，你就没有了风险控制权
如果要买，就必须相信他人的能力比你高很多，依赖信任
如果认为其风险控制能力跟自己差不多，自己却丧失控制权，那就不要买不要用

永远要有自己就是 1%， 1%。， 1ppm ……的觉悟

自从 lastpass 上次的事件我就删除帐号了，即使是加密过，我也不放心自己的数据放在别人的服务器上。万一解密手段升级了呢？

我去，这还让人怎么放心使用它家服务，花钱了也不过如此，该出问题还是出问题。

可以试试「洋葱」 http://www.yangcong.com ,不过话说回来，任何厂商都不能保证 100%的安全，但是起码他们是专业的。

不能因为特斯拉自动驾驶出过车祸就否定它，一个道理。

现在我的不是特别重要的密码都是用洋葱来管理，特别重要的都会开启二步验证，并且尽量自己记忆。

@just4test 不是说 lastpass 会误判断么？ 浏览器认为域名是 http://avlidienbrunn.se 但是 lastpass 会填 twitter 的账号密码
这个不是 lastpass autofill 的锅么？

"By browsing this URL: http://avlidienbrunn.se/@twitter.com/@hehe.php the browser would treat the current domain as avlidienbrunn.se while the extension would treat it as twitter.com," Karlsson explained.

我能确定楼上很多言之凿凿的并没有看懂文章。。。。

或者，根本只是个不懂安全的程序员罢了

补一句，我指的是那些说和 lastpass 没关系的

是不是说关掉 autofill 就好了？

话说我从一开始用就关了 autofill ，本来就觉得自动填不太好。

更加坚信 1Password+Wi-Fi 同步 的策略

@icecoffee 那是以前的 bug 了，子标题是 Similar Old Bug in LastPass Password Manager:

这个帖子我就看到一个完全没看懂文章的

洋葱有办法导入 lastpass 么？
一个一个输入的话也太蛋疼了

昨天才买的高级账户，就图跨平台复制密码方便一些
但是个人其实并不在乎，别人拿我的账号也没什么用

@icecoffee
@ivmm
抱歉，我弄错了。刚才没看英文原文。近期总共有两个 bug ：
Bug1 ：该 bug 导致可以构造恶意 url ，收集任意其他站点密码。
https://twitter.com/avlidienbrunn/status/758232557829914624
Bug2 ：该 bug 可以模拟点击 Lastpass 插入页面中的自动填表按钮，从而调用 lastpass api 。
https://twitter.com/taviso/status/758461726945783808

这两个 bug 都出现在自动填写密码的部分。

真棒， LastPass 又修复了一个漏洞，高级版不白买啊。

@skylancer sorry ……刚才看了下英文原文，才明白过来

我只用脑子

任何有自动填充的密码管理器都可能出现这样的问题吧……
所以最好不用自动填充。

自动填充已关 续一年高级用户压压惊

@skylancer 确实很多没看懂还自以为看懂了的……然后还推荐别的……

其实关了自动填充就行了。

@just4test 兄弟，看清楚再回帖...