打开任一保存过密码的登录网页,按 F12 进入审查元素,ctrl➕F 搜索 password,将 password 前的 type 改成 text,按下回车确认,就可以在不知道电脑密码的情况下查看到你 chrome 浏览器里保存的密码,这是否算是个严重漏洞?
1
wuruxu 2019-03-22 17:37:59 +08:00 via Android
需要这样看吗?直接设置里 密码更多
|
2
zzNucker 2019-03-22 17:46:07 +08:00
。。。。。。
|
4
Sharuru 2019-03-22 17:47:10 +08:00
。。。。。。
|
5
CallMeReznov 2019-03-22 17:49:52 +08:00 via Android
欲言又止。。。。。
|
6
loli 2019-03-22 17:50:56 +08:00 via Android
这有什么,flags 里设置个密码导出,然后所有密码就明文导出了。(好像也不要 Windows 密码?)
|
7
Lin0936 2019-03-22 17:52:19 +08:00
对此我想说三点:。。。
|
8
duvalier OP 本人不是程序员,只是对这种情况感到困惑,如此一来,不是只要能接触到电脑就能看到所有密码?虽然我也用 enpass,但是还是觉得 chrome 最方便,很多密码都是直接存在 chrome 里面的。如果觉得这个问题比较低级,麻烦给个正儿八经的回答就好,谢谢了。
|
9
BreadKiller 2019-03-22 17:55:16 +08:00
这个不是 chrome 的漏洞吧,所有浏览器都可以这样查看密码。
你在密码框里输入了密码,然后把这个 input 类型改成 text,密码就变成明文了 |
10
CallMeReznov 2019-03-22 18:04:56 +08:00 via Android
@duvalier 技术相关的工作对于这个问题一般都没有什么不理解吧,我本身是运维,也不阻止我知道这只是个控件类型的问题
假设我去一个电气论坛,指着空开说,为什么我的电气都烧毁了空开都不断开,这空开设计一定有漏洞 你感觉那个论坛相关专业的人会如何看我呢 又假设我的标题换一个方式 为什么我的电气都烧毁了可我的空开没工作呢? 那论坛的人又如何看我呢 |
11
vissssa 2019-03-22 18:17:30 +08:00
chrome 本地保存的密码文件,一个解密就全是明文了
大半年前最新版本测试过,现在不知道了 |
12
nfroot 2019-03-22 19:14:15 +08:00 via Android
你不是程序员,但是你是不是觉得我们在辩解?
是不是这样? 不过楼上解释的方式确实不太对,我通俗一点吧。 菜肴都是厨师做出来的,对不对?一般都是在厨房。毕竟厨师也要有厨具啊对不。 平时你看到的菜肴就像网页一样,是一个成品,完整的成品,这时候你肯定不能看到密码对不对? 但是你按了 F12,你知道 F12 是什么吗,不知道就看看菜单栏里的名词,一般叫"开发者工具"。 也就是你冲到厨房去跟厨师一样拿起厨具了,所以你可以改变菜肴的内容。。。在不是很正常吗? 那么你可能又要问,密码框是很敏感的东西,不准厨师用厨具看行不行! 当然是不行的,密码框是一定要开放给程序员使用的,否则程序员失去了这一块的控制,只会弊大于利。就好像你买了菜,不准厨师做任何加工,又要好吃又要好看,那是不可能的。 也许未来这一块会有标准实现一些能力,加强它,但是本质上应该不会改变,因为你的密码无论如何都在程序员代码的掌控之下。。。。程序员才能开发出更好的东西。。。 另外程序员能不能防止你这种行为呢?其实是可以的,只是没去做而已,为什么不做?因为他改变了方式,你也可以改变方式,本质上你动用开发者工具了,菜肴就在你掌控之下了。 明白不明白? |
13
nfroot 2019-03-22 19:23:10 +08:00 via Android
如果你还不能理解,那么很遗憾的告诉你,没有一劳永逸的方式,就算再强大,系统的 api 是可以开放的啊,到时候代码一执行,什么技术都防不住的。
这里不能说你真的错了,因为你的想法也有道理,建议你用第三方密码管理软件吧。这样比较妥当。浏览器不是错在显示密码,而是错在"自动输入密码",要是每次"自动输入密码"之前验证主密码该多好啊。 但是你记住了,易用性和安全性极大程度时候会相反,希望你有更好的办法完美的解决。提问题谁都会的 |
14
nfroot 2019-03-22 19:30:22 +08:00 via Android
“就可以在不知道电脑密码的情况下查看到你 chrome 浏览器里保存的密码”
你电脑密码都不设置,离开电脑也不锁电脑随便让人操作,出事迟早的。还一边叫着要安全性,你倒是按安全性操作啊。 你要是去老板的电脑,还可以干更大的事情呢,在 OA 系统上批准一大批项目,去股票软件把你老板的股票亏钱的全部卖了(不知道会不会验证密码,会不会也记住密码了?),还可以在老板电脑给财务发几个转账的消息。。。。。。。。 除了说活该你让我说什么好! |
15
ech0x 2019-03-22 20:20:48 +08:00
所以说在浏览器里保存是一件不安全的行为啊。你在点记住密码的时候会有警告的。
|