V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
cornelia
V2EX  ›  分享发现

关于浏览器记住密码后,把 input 的 type 改成 text 可以查看密码的这个事情.

  •  
  •   cornelia · 2015-06-10 15:32:28 +08:00 · 7468 次点击
    这是一个创建于 3443 天前的主题,其中的信息可能已经有所发展或是发生改变。

    看到有个同事用火狐,可以直接显示记住的密码,然后在吐槽,
    另外一个同事说chrome直接改input的type就可以了,
    才知道有这个方法,
    感觉火星了.

    这样会不会不安全...

    30 条回复    2019-11-06 14:46:13 +08:00
    lululau
        1
    lululau  
       2015-06-10 15:38:09 +08:00
    确实不大安全
    jkjoke
        2
    jkjoke  
       2015-06-10 15:41:25 +08:00
    不太安全,所以重要的网站不会用记住密码
    publicID001
        3
    publicID001  
       2015-06-10 15:42:49 +08:00 via Android   ❤️ 1
    这有什么不安全?只要保存了密码就必然是要读取并且发给服务器的,这里不显示还可以抓包啊,还可以分析数据文件啊。
    浏览器需要对这种安全负责么?这不是和电脑上其他文件一样是你应该做的事情么?
    openroc
        4
    openroc  
       2015-06-10 15:44:14 +08:00
    嗯。开机密码很重要啊。:)
    fwings260
        5
    fwings260  
       2015-06-10 15:45:50 +08:00
    一切放在前端的东西都没啥安全性。。。。。
    因为本地就可以改呀。。。。
    lyragosa
        6
    lyragosa  
       2015-06-10 15:46:47 +08:00   ❤️ 3
    你的电脑都被别人物理接触了

    还跟我提安全?
    acthtml
        7
    acthtml  
       2015-06-10 15:50:57 +08:00
    浏览器记住密码是明文方式记住的。
    你能看到浏览器所有记住的密码明文。
    chrome进入设置》密码和表单
    sarices
        8
    sarices  
       2015-06-10 15:52:47 +08:00
    @acthtml 有加密手段的,不过不知道加密算法是否安全,我把所有数据加密了
    vmebeh
        9
    vmebeh  
       2015-06-10 15:57:40 +08:00
    ChromePass
    http://www.nirsoft.net/utils/chromepass.html

    所有保存的密码,无需登录密码,连管理员权限都不要,直接看光光。
    FrankFang128
        10
    FrankFang128  
       2015-06-10 16:19:09 +08:00 via Android
    看dev tools 里的 HTTP 请求,能把你全都看光。
    ZHenJ
        11
    ZHenJ  
       2015-06-10 16:21:51 +08:00
    1password和lastpass欢迎你
    orvice
        12
    orvice  
       2015-06-10 16:22:29 +08:00
    浏览器自带的密码保存功能从来都不用来记录Gmail等重要重要密码。。。基本都只记录一些小网站的
    learnshare
        13
    learnshare  
       2015-06-10 16:22:36 +08:00
    记住密码也只是本地而已,电脑别给别人碰好了
    can
        14
    can  
       2015-06-10 16:43:47 +08:00
    你在前端输入完密码,F12,把 input 的 type 由 password 改成 text,看到明文,这样有什么不安全的?都是你输入的,你的意思是你刚输入完就要通过ajax自动完成加密?
    如果你 submit 之后密码框的 type 还能由 password 改成 text 看到明文,这叫不安全。

    这问题就像之前有人说登陆了Lastpass后查看本地的密码,也是通过改类型可以看到明文……这不是不安全。
    就像Chrome认为记住密码并且可以明文看到并没有不安全,前提是你的电脑是安全的。
    Citrus
        15
    Citrus  
       2015-06-10 16:49:21 +08:00 via iPhone
    @vmebeh 如果需要密码的话每次自动完成就都需要密码了。。。那你就要说烦死了。。。

    话说,我比较好奇,为啥这么多人纠结浏览器保存密码这件事。。。如果我能物理接触你的电脑,我直接把你硬盘拔了,你设啥密码都没用。。。
    billlee
        16
    billlee  
       2015-06-10 16:56:51 +08:00
    Firefox 可以设置主密钥,没有密钥是不能解密保存的密码、证书私钥等内容。
    至于不设置主密钥的,就算浏览器不给显示也可以直接去硬盘里面读出来啊。浏览器不显示只能提供虚假的安全感,反而不安全。
    weyou
        17
    weyou  
       2015-06-10 17:36:07 +08:00
    @can 同意
    takwai
        18
    takwai  
       2015-06-10 17:51:18 +08:00
    @vmebeh 如果你系统是多账号的,只要把当前登录账号注销,切换其他账号登录,用此软件是看不到注销账号的 chrome 密码的。
    ivanchou
        19
    ivanchou  
       2015-06-10 18:00:28 +08:00 via Android
    所以一定要设置开机密码啊 手机也是一样
    loading
        20
    loading  
       2015-06-10 18:07:44 +08:00 via Android
    以前见到有些网站,进去修改密码页面,当前密码就是星标显示的,自己能通过这个方法查看到别人的密码(其他电脑),以为自己很牛。

    现在发现,就是那个网站明文保存密码了…
    vmebeh
        21
    vmebeh  
       2015-06-10 19:24:13 +08:00
    @Citrus 问题是任何没底线的程序都能读到保存的密码
    @takwai 嗯,用到了系统内置的权限控制/加密,但是如上

    一直以为 Chrome 是用登录账户来加密保存的,前几天才看到有这个情况直接换上了 1Password。
    Citrus
        22
    Citrus  
       2015-06-10 19:27:13 +08:00 via iPhone
    @vmebeh 事实上,只有当前账户和系统管理员才能读取,并不是任何人都能读取。
    Mutoo
        23
    Mutoo  
       2015-06-10 19:44:15 +08:00
    离开电脑不锁屏都是耍流氓。
    cbais7890
        24
    cbais7890  
       2015-06-10 19:48:11 +08:00
    根本不用这么麻烦,如果chrome又是记住密码,直接点击设置里面->高级设置->密码和表单->管理密码
    就能看到明文密码,什么网站都有
    vmebeh
        25
    vmebeh  
       2015-06-10 20:23:58 +08:00
    @Citrus 以当前账号运行的 任何程序 都能读到,而不仅仅是 Chrome。
    processzzp
        26
    processzzp  
       2015-06-10 20:57:56 +08:00 via Android
    @vmebeh
    @lululau
    @jkjoke
    https://technet.microsoft.com/en-us/library/hh278941.aspx

    Ten Immutable Laws Of Security
    参见这两条:1. If a bad guy can persuade you to run his program on your computer, it's not solely your computer anymore.
    2. If a bad guy has unrestricted physical access to your computer, it's not your computer anymore.
    所以安不安全是个伪命题,因为在帖子假设条件下你的电脑本身就是不安全的。
    ulic95
        27
    ulic95  
       2015-06-11 06:58:37 +08:00
    @vmebeh 原生chrome才能用。
    Citrus
        28
    Citrus  
       2015-06-11 18:57:31 +08:00 via iPhone
    @vmebeh 当然!你见过哪个系统的权限控制是基于程序的?
    mingyun
        29
    mingyun  
       2015-06-14 15:55:30 +08:00
    @Mutoo +1
    zhouxingchi4
        30
    zhouxingchi4  
       2019-11-06 14:46:13 +08:00
    怎么解决这么问题呢?求助
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1050 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 20:08 · PVG 04:08 · LAX 12:08 · JFK 15:08
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.