V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
duvalier
V2EX  ›  问与答

chrome 浏览器密码漏洞?

  •  
  •   duvalier · 2019-03-22 17:34:35 +08:00 via iPhone · 1553 次点击
    这是一个创建于 2092 天前的主题,其中的信息可能已经有所发展或是发生改变。

    打开任一保存过密码的登录网页,按 F12 进入审查元素,ctrl➕F 搜索 password,将 password 前的 type 改成 text,按下回车确认,就可以在不知道电脑密码的情况下查看到你 chrome 浏览器里保存的密码,这是否算是个严重漏洞?

    wuruxu
        1
    wuruxu  
       2019-03-22 17:37:59 +08:00 via Android
    需要这样看吗?直接设置里 密码更多
    zzNucker
        2
    zzNucker  
       2019-03-22 17:46:07 +08:00
    。。。。。。
    mangoDB
        3
    mangoDB  
       2019-03-22 17:46:10 +08:00
    @wuruxu `设置`中查看密码应该需要输入本机密码,例如 Windows 密码。楼主描述情况不需要本机密码。
    Sharuru
        4
    Sharuru  
       2019-03-22 17:47:10 +08:00
    。。。。。。
    CallMeReznov
        5
    CallMeReznov  
       2019-03-22 17:49:52 +08:00 via Android
    欲言又止。。。。。
    loli
        6
    loli  
       2019-03-22 17:50:56 +08:00 via Android
    这有什么,flags 里设置个密码导出,然后所有密码就明文导出了。(好像也不要 Windows 密码?)
    Lin0936
        7
    Lin0936  
       2019-03-22 17:52:19 +08:00
    对此我想说三点:。。。
    duvalier
        8
    duvalier  
    OP
       2019-03-22 17:55:12 +08:00 via iPhone   ❤️ 1
    本人不是程序员,只是对这种情况感到困惑,如此一来,不是只要能接触到电脑就能看到所有密码?虽然我也用 enpass,但是还是觉得 chrome 最方便,很多密码都是直接存在 chrome 里面的。如果觉得这个问题比较低级,麻烦给个正儿八经的回答就好,谢谢了。
    BreadKiller
        9
    BreadKiller  
       2019-03-22 17:55:16 +08:00
    这个不是 chrome 的漏洞吧,所有浏览器都可以这样查看密码。
    你在密码框里输入了密码,然后把这个 input 类型改成 text,密码就变成明文了
    CallMeReznov
        10
    CallMeReznov  
       2019-03-22 18:04:56 +08:00 via Android
    @duvalier 技术相关的工作对于这个问题一般都没有什么不理解吧,我本身是运维,也不阻止我知道这只是个控件类型的问题
    假设我去一个电气论坛,指着空开说,为什么我的电气都烧毁了空开都不断开,这空开设计一定有漏洞
    你感觉那个论坛相关专业的人会如何看我呢


    又假设我的标题换一个方式

    为什么我的电气都烧毁了可我的空开没工作呢?

    那论坛的人又如何看我呢
    vissssa
        11
    vissssa  
       2019-03-22 18:17:30 +08:00
    chrome 本地保存的密码文件,一个解密就全是明文了
    大半年前最新版本测试过,现在不知道了
    nfroot
        12
    nfroot  
       2019-03-22 19:14:15 +08:00 via Android
    你不是程序员,但是你是不是觉得我们在辩解?

    是不是这样?

    不过楼上解释的方式确实不太对,我通俗一点吧。

    菜肴都是厨师做出来的,对不对?一般都是在厨房。毕竟厨师也要有厨具啊对不。

    平时你看到的菜肴就像网页一样,是一个成品,完整的成品,这时候你肯定不能看到密码对不对?

    但是你按了 F12,你知道 F12 是什么吗,不知道就看看菜单栏里的名词,一般叫"开发者工具"。

    也就是你冲到厨房去跟厨师一样拿起厨具了,所以你可以改变菜肴的内容。。。在不是很正常吗?

    那么你可能又要问,密码框是很敏感的东西,不准厨师用厨具看行不行!

    当然是不行的,密码框是一定要开放给程序员使用的,否则程序员失去了这一块的控制,只会弊大于利。就好像你买了菜,不准厨师做任何加工,又要好吃又要好看,那是不可能的。

    也许未来这一块会有标准实现一些能力,加强它,但是本质上应该不会改变,因为你的密码无论如何都在程序员代码的掌控之下。。。。程序员才能开发出更好的东西。。。


    另外程序员能不能防止你这种行为呢?其实是可以的,只是没去做而已,为什么不做?因为他改变了方式,你也可以改变方式,本质上你动用开发者工具了,菜肴就在你掌控之下了。


    明白不明白?
    nfroot
        13
    nfroot  
       2019-03-22 19:23:10 +08:00 via Android
    如果你还不能理解,那么很遗憾的告诉你,没有一劳永逸的方式,就算再强大,系统的 api 是可以开放的啊,到时候代码一执行,什么技术都防不住的。

    这里不能说你真的错了,因为你的想法也有道理,建议你用第三方密码管理软件吧。这样比较妥当。浏览器不是错在显示密码,而是错在"自动输入密码",要是每次"自动输入密码"之前验证主密码该多好啊。

    但是你记住了,易用性和安全性极大程度时候会相反,希望你有更好的办法完美的解决。提问题谁都会的
    nfroot
        14
    nfroot  
       2019-03-22 19:30:22 +08:00 via Android
    “就可以在不知道电脑密码的情况下查看到你 chrome 浏览器里保存的密码”

    你电脑密码都不设置,离开电脑也不锁电脑随便让人操作,出事迟早的。还一边叫着要安全性,你倒是按安全性操作啊。

    你要是去老板的电脑,还可以干更大的事情呢,在 OA 系统上批准一大批项目,去股票软件把你老板的股票亏钱的全部卖了(不知道会不会验证密码,会不会也记住密码了?),还可以在老板电脑给财务发几个转账的消息。。。。。。。。

    除了说活该你让我说什么好!
    ech0x
        15
    ech0x  
       2019-03-22 20:20:48 +08:00
    所以说在浏览器里保存是一件不安全的行为啊。你在点记住密码的时候会有警告的。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1223 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 17:39 · PVG 01:39 · LAX 09:39 · JFK 12:39
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.