发现一个 chrome 的安全隐患，吓得我赶紧把自动保存的密码都删了

我是 windows 10， chrome 设置里已保存的密码，是可以看明文的，验证方式出人意料，竟然是 windows 的登录密码，一般习惯下，windows 登录密码应该算是密码里级别最弱的，谁没事设置一个复杂的密码每天都得登录好几次的=。= 按我的思维，应该得验证 chrome 账户的密码吧？

总的来说呢，只要我有了你的 windows 电脑的登录密码，就可以打开你的 chrome 查看所有你自动保存的网页密码，所以自动保存密码的时候要再慎重一点了

evagreenworking

2017-12-21 10:20:57 +08:00

@boboliu chrome://flags/#password-export; 胆子大的话还可以 chrome://flags/#PasswordImport

iVeego

2017-12-21 10:36:04 +08:00

这个问题很久前在 V2 就有过讨论了吧？到现在竟然还没有人回复：如果有人可以物理接触到你的电脑，就没有安全可言了。

nfroot

2017-12-21 10:39:37 +08:00

不管你怎么牛逼

F12 后点登录，看网络请求，啥玩意都有，如果传输加密，自己搞个模拟表单也非常容易

总而言之，言而总之，一个坏蛋有你的密码，还能使用你的电脑，分分钟打开你的密码管理器是很容易的，就算打不开，做个模拟表单很难吗？

可能有人觉得提高了门槛，其实不然，如果需要这样做才能拿到密码，那么网上很快会出现这样的教程。反正操作起来不难。

UnknownR

2017-12-21 10:46:23 +08:00

@codeeer 查看的时候会像你要 credential，设置了 PIN 码会跳转到 PIN 码输入，不知道是不是只设置了 Windows Hello 了的才可以

nfroot

2017-12-21 10:48:50 +08:00

你想要方便，就会丢了安全性。特别是保存密码，保存了是为啥？是为了输入，就网页这种情景，第三方去做保存密码，想做到不泄露，太难，或者说不现实。

想要安全，首先你就得让浏览器无法让用户改变页面、脚本，你还得重新涉及网络请求，让嗅探无法存在，然后呢？然后你会发现，这玩意已经不能叫网页了，叫客户端吧。

然后你会发现，即便是客户端，也无法防止用户采用外挂的方式去盗号……

Kimyx

2017-12-21 11:11:49 +08:00

虽然知道，但是 Chrome 密码自动填充还是太方便不舍得我连 Enpass 插件都没用

heiyutian

2017-12-21 11:13:55 +08:00

能不能简单点，别的软件能不能把我 chrome 数据复制上传，然后他们就能查看我的密码？

skylancer

2017-12-21 11:17:49 +08:00

应付别人借电脑的需求我大概会建议卤煮开另一个账户或者直接用 Guest 会比较好

bao3

2017-12-21 11:37:15 +08:00

照楼主这么说，mac 上没有浏览器可用了，safari，chrome 和 firefox 都是直接用登录密码来显示所有密码的。。。

dndx

2017-12-21 11:50:04 +08:00

浏览器保存密码肯定都是明文或者可逆加密的，而可逆加密基本上跟明文没啥区别，Chrome 这么做一点问题也没有。如果怕的话不保存就好了。

Clarencep

2017-12-21 11:54:37 +08:00

话说都有你电脑密码了，那都能随便操作你的电脑了。搞个木马或键盘监听器岂不更佳。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/416432

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.