发现一个 chrome 的安全隐患，吓得我赶紧把自动保存的密码都删了

我是 windows 10， chrome 设置里已保存的密码，是可以看明文的，验证方式出人意料，竟然是 windows 的登录密码，一般习惯下，windows 登录密码应该算是密码里级别最弱的，谁没事设置一个复杂的密码每天都得登录好几次的=。= 按我的思维，应该得验证 chrome 账户的密码吧？

总的来说呢，只要我有了你的 windows 电脑的登录密码，就可以打开你的 chrome 查看所有你自动保存的网页密码，所以自动保存密码的时候要再慎重一点了

tghgffdgd

2017-12-21 09:07:18 +08:00

假设密码是密文的又怎么样，既然对方都进你 windows 了，直接上你保存密码的网站密码就自己填进去了，剩下你说呢

treo

2017-12-21 09:08:32 +08:00

如果攻击者能接触到受害者的计算机，还有了受害者的 win 登录密码，受害者的电脑还有什么安全可言？
还有 chrome 账户是什么？ google 账户吗？难道每次启动 chrome 还输一遍密码？

tghgffdgd

2017-12-21 09:08:49 +08:00

另外 chrome 是加密保存的，你文件复制到另一台电脑或用户里是解密不出来的

shench

2017-12-21 09:09:02 +08:00

你 F12 后把密码框改成文本框密码也会显示，那么问题来了，倒底怎样才安全呢？

Death

2017-12-21 09:09:15 +08:00

这没问题呀……系统登录密码本来就很重要呀，而且相对不容易忘。

yyfearth

2017-12-21 09:18:23 +08:00

Mac 上面也一样啊只要有系统秘密就可以看到 Chrome 和 Safari 以及系统 KeyChain 所有密码

再说如果你用 Google 账号密码加密你愿意每次打开 Chrome 都输入一次？
你说可以缓存一下这那么仍然可以打开对应的网页直接读取 Password

RogerHzb

2017-12-21 09:27:07 +08:00

@treo 我的意思并不是极端的攻击，比如说原本我能容忍你在我电脑上用我的优酷账户看视频，但现在你可以偷偷拿到我的密码，你可以在自己的电脑上登录我的优酷账户，这对于我来说是一种意外的情况，密码本身就是秘密

mayne95

2017-12-21 09:30:08 +08:00

我发现楼上两人的出发点不一样。一个意思是在保存了密码的那个网站上，修改 type。一个是说在 chrome 的密码管理里面修改。前者是可以的，后者不行。版本: 63.0.3239.84 （正式版本）（ 64 位）

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.