Enpass 使用网站图标的情况下在 Windows 平台下疑似泄露保存的部分网站域名

206 天前
 loli
今天无意中用 EveryThing 搜索了下 iqiyi,发现结果中有个 iqiyi.com 的元素.
com 是可执行程序,还以为是中病毒了,打开路径一看居然是 Enpass 的数据目录...

里面有几百个用域名命名的同类文件,全都是密码库里保存里过的网站.
粗略检查了下它们应该是 png 文件.
它们大概率和密码无关,但是路径是可公开访问的.

这里应该有风险吧,虽然可能没那么大?
不说弄个私有格式加密打包下,至少打包下吧...

隐私方面肯定是有问题的,我都不好上传具体截图.

具体路径,商店版可能路径不同
%Appdata%\Sinew Software Systems Pvt Ltd\Enpass\fav
633 次点击
所在节点    全球工单系统
2 条回复
yuzo555
206 天前
应该是 favicon ,显示网站图标用的,加个 hash 会好一点
loli
206 天前
@yuzo555 #1
应该是 favicon ,我也没认为它们和密码有关.
所以我也不好判定它们有多大风险

发前检查了一遍正文,已经加了多个限定.
结果没注意到标题,现在改了下.

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1046238

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX