发现一个 chrome 的安全隐患，吓得我赶紧把自动保存的密码都删了

我是 windows 10， chrome 设置里已保存的密码，是可以看明文的，验证方式出人意料，竟然是 windows 的登录密码，一般习惯下，windows 登录密码应该算是密码里级别最弱的，谁没事设置一个复杂的密码每天都得登录好几次的=。= 按我的思维，应该得验证 chrome 账户的密码吧？

总的来说呢，只要我有了你的 windows 电脑的登录密码，就可以打开你的 chrome 查看所有你自动保存的网页密码，所以自动保存密码的时候要再慎重一点了

Vanilla

2017-12-21 09:30:22 +08:00

你自动填充到网页里然后打开审查工具把 input type="password" 改成 type="text" 就都能看到了什么漏不漏洞的，年轻人不要一天竟想着搞个大新闻然后把 Google 批判一番

zlfzy

2017-12-21 09:35:19 +08:00

多余，现在大厂的产品不是你有密码就能登录了，像淘宝支付宝 QQ 微信京东这种登录的时候都是有非常用环境监测的，以为搞到密码就能随便一台机登录别人的账号怕是想多了。不过我还是建议你拔掉网线比较安全，小心你使用非 ssl 加密的产品被人抓包分析出密码来。

wclebb

2017-12-21 09:35:26 +08:00

Windows 帐号密码有分两种。
本机和 microsoft 帐号。

我是 microsoft 帐号，弹出 Chrome 查看密码时，是只能 microsoft 密码输入的。
但这也有问题，我是觉得 Chrome 也应当负责验证这个，Chrome 的密码验证了，那么保存的密码也可以查看，而不是由系统负责。

Bingbing

2017-12-21 09:36:12 +08:00

这个你电脑的登录密码只有自己知道吧，而且感觉这样也还可以吧，有时候密码忘记了可以去自己通过电脑登录密码查看下

340244120

2017-12-21 09:37:18 +08:00

不晓得 chrome 啥时候改的,反正 14 年之前的版本,连 windows 密码都不用输就能看~

gaolycn

2017-12-21 09:44:25 +08:00

楼主好年轻，都登录你操作系统了，密码本来就是自动填充的，有什么安全可言。不要太程序员思维。

hellommd

2017-12-21 09:47:00 +08:00

这个问题，Google 很早之前说过了。只是楼主以“安全隐患”命名标题会引起争议。

gaolycn

2017-12-21 09:48:55 +08:00

就算填充到密码文本框里的是星号，改 type 或者 F12 看下请求参数，分分钟得到明文密码，你说的用 Google 账号密码验证，只是程序员思维。

hyyou2010

2017-12-21 09:53:31 +08:00

留意过这个问题。FireFox 可以设置一个浏览器主密码，必须通过这个主密码才能查看浏览器保存的密码。印象中，Chrome 的方面认为 FireFox 这个保护其实很容易戳破，所以干脆不加这一层（我个人还是认为应该加这一层）。

boboliu

2017-12-21 09:54:48 +08:00

正在转移到 keepass，但是 chrome 保存的量着实有点大。。。只好慢慢来了

tghgffdgd

2017-12-21 10:16:03 +08:00

@newbieo0O 就这个界面左边就有网址，你点开之后填充了密码然后你试试

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/416432

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.