Home Sign Up Sign In
duvalier
V2EX  ›  问与答

chrome 浏览器密码漏洞?

  •   
  •   duvalier · Mar 22, 2019 via iPhone · 1998 views
    This topic created in 2652 days ago, the information mentioned may be changed or developed.

    打开任一保存过密码的登录网页,按 F12 进入审查元素,ctrl➕F 搜索 password,将 password 前的 type 改成 text,按下回车确认,就可以在不知道电脑密码的情况下查看到你 chrome 浏览器里保存的密码,这是否算是个严重漏洞?

  • 密码
  • password
  • Chrome
  • 漏洞
    15 replies
    wuruxu
        1
    wuruxu  
       Mar 22, 2019 via Android
    需要这样看吗?直接设置里 密码更多
    zzNucker
        2
    zzNucker  
       Mar 22, 2019
    。。。。。。
    mangoDB
        3
    mangoDB  
       Mar 22, 2019
    @wuruxu `设置`中查看密码应该需要输入本机密码,例如 Windows 密码。楼主描述情况不需要本机密码。
    Sharuru
        4
    Sharuru  
       Mar 22, 2019
    。。。。。。
    CallMeReznov
        5
    CallMeReznov  
       Mar 22, 2019 via Android
    欲言又止。。。。。
    loli
        6
    loli  
       Mar 22, 2019 via Android
    这有什么,flags 里设置个密码导出,然后所有密码就明文导出了。(好像也不要 Windows 密码?)
    Lin0936
        7
    Lin0936  
       Mar 22, 2019
    对此我想说三点:。。。
    duvalier
        8
    duvalier  
    OP
       Mar 22, 2019 via iPhone   ❤️ 1
    本人不是程序员,只是对这种情况感到困惑,如此一来,不是只要能接触到电脑就能看到所有密码?虽然我也用 enpass,但是还是觉得 chrome 最方便,很多密码都是直接存在 chrome 里面的。如果觉得这个问题比较低级,麻烦给个正儿八经的回答就好,谢谢了。
    BreadKiller
        9
    BreadKiller  
       Mar 22, 2019
    这个不是 chrome 的漏洞吧,所有浏览器都可以这样查看密码。
    你在密码框里输入了密码,然后把这个 input 类型改成 text,密码就变成明文了
    CallMeReznov
        10
    CallMeReznov  
       Mar 22, 2019 via Android
    @duvalier 技术相关的工作对于这个问题一般都没有什么不理解吧,我本身是运维,也不阻止我知道这只是个控件类型的问题
    假设我去一个电气论坛,指着空开说,为什么我的电气都烧毁了空开都不断开,这空开设计一定有漏洞
    你感觉那个论坛相关专业的人会如何看我呢


    又假设我的标题换一个方式

    为什么我的电气都烧毁了可我的空开没工作呢?

    那论坛的人又如何看我呢
    vissssa
        11
    vissssa  
       Mar 22, 2019
    chrome 本地保存的密码文件,一个解密就全是明文了
    大半年前最新版本测试过,现在不知道了
    nfroot
        12
    nfroot  
       Mar 22, 2019 via Android
    你不是程序员,但是你是不是觉得我们在辩解?

    是不是这样?

    不过楼上解释的方式确实不太对,我通俗一点吧。

    菜肴都是厨师做出来的,对不对?一般都是在厨房。毕竟厨师也要有厨具啊对不。

    平时你看到的菜肴就像网页一样,是一个成品,完整的成品,这时候你肯定不能看到密码对不对?

    但是你按了 F12,你知道 F12 是什么吗,不知道就看看菜单栏里的名词,一般叫"开发者工具"。

    也就是你冲到厨房去跟厨师一样拿起厨具了,所以你可以改变菜肴的内容。。。在不是很正常吗?

    那么你可能又要问,密码框是很敏感的东西,不准厨师用厨具看行不行!

    当然是不行的,密码框是一定要开放给程序员使用的,否则程序员失去了这一块的控制,只会弊大于利。就好像你买了菜,不准厨师做任何加工,又要好吃又要好看,那是不可能的。

    也许未来这一块会有标准实现一些能力,加强它,但是本质上应该不会改变,因为你的密码无论如何都在程序员代码的掌控之下。。。。程序员才能开发出更好的东西。。。


    另外程序员能不能防止你这种行为呢?其实是可以的,只是没去做而已,为什么不做?因为他改变了方式,你也可以改变方式,本质上你动用开发者工具了,菜肴就在你掌控之下了。


    明白不明白?
    nfroot
        13
    nfroot  
       Mar 22, 2019 via Android
    如果你还不能理解,那么很遗憾的告诉你,没有一劳永逸的方式,就算再强大,系统的 api 是可以开放的啊,到时候代码一执行,什么技术都防不住的。

    这里不能说你真的错了,因为你的想法也有道理,建议你用第三方密码管理软件吧。这样比较妥当。浏览器不是错在显示密码,而是错在"自动输入密码",要是每次"自动输入密码"之前验证主密码该多好啊。

    但是你记住了,易用性和安全性极大程度时候会相反,希望你有更好的办法完美的解决。提问题谁都会的
    nfroot
        14
    nfroot  
       Mar 22, 2019 via Android
    “就可以在不知道电脑密码的情况下查看到你 chrome 浏览器里保存的密码”

    你电脑密码都不设置,离开电脑也不锁电脑随便让人操作,出事迟早的。还一边叫着要安全性,你倒是按安全性操作啊。

    你要是去老板的电脑,还可以干更大的事情呢,在 OA 系统上批准一大批项目,去股票软件把你老板的股票亏钱的全部卖了(不知道会不会验证密码,会不会也记住密码了?),还可以在老板电脑给财务发几个转账的消息。。。。。。。。

    除了说活该你让我说什么好!
    ech0x
        15
    ech0x  
       Mar 22, 2019
    所以说在浏览器里保存是一件不安全的行为啊。你在点记住密码的时候会有警告的。
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   5533 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 65ms · UTC 06:04 · PVG 14:04 · LAX 23:04 · JFK 02:04
    ♥ Do have faith in what you're doing.