Opera 浏览器 PC 版，换用 Chromium 内核后，竟然可以不经用户明文许可直接读取 Chrome 保存的密码……

2019-02-20 17:19:18 +08:00

realpg

PC 装了个 Opear 浏览器，就是为了隔离账户。

结果，Opera 不经我许可，直接可以读取 Chrome 保存的密码（主存储于 google 账户）……

Opera 未登录 google 账户，opera 账户，貌似是直接去读 Chrome 的文件，完全未经过我的许可……

这波操作实在是厉害至极

5823 次点击

所在节点

程序员

46 条回复

fuchaofather

2019-02-20 17:35:03 +08:00

是的, 我也发现了

envylee

2019-02-20 18:52:14 +08:00

对啊，这个只能怪 chrome，他们的密码保存机制本来就是在本地明文存储的

realpg

2019-02-20 19:10:35 +08:00

@envylee #2
别人知道你的东西在哪就可以随便拿？

invalidtoken

2019-02-20 19:11:22 +08:00

https://i.loli.net/2019/02/20/5c6d35c406e67.png
https://i.loli.net/2019/02/20/5c6d35c400ce8.png

realpg

2019-02-20 19:17:18 +08:00

@invalidtoken #4
Chrome is not my default browser.

jousca

2019-02-20 19:18:45 +08:00

@realpg OPERA 认为它是你的 default browser.

Imr

2019-02-20 20:53:13 +08:00

win 版 chrome 密码是存在 win 系统凭证里面的，只要有当前账号权限就可以访问到，不涉及到连接 chrome

disk

2019-02-20 20:54:37 +08:00

@envylee 明明是用本地登录凭证调用系统 api 加密存储的

realpg

2019-02-20 20:59:15 +08:00

@Imr #7
已翻阅本机 windows 系统凭据，没发现有浏览器密码。
不过 windows 自身提到的是默认保管位置
正在咨询 Google 浏览器项目组的大佬，马上有答复

cwcauc

2019-02-20 20:59:37 +08:00

那要是一众国产软件想调取就可以直接调取吗……

ysc3839

2019-02-20 21:46:38 +08:00

Chrome 保存的密码并没有引入外部密钥来加密，也就是说要不然没加密，要不然密钥存在本地。

gamexg

2019-02-20 21:57:22 +08:00

@envylee #2 chrome 密码是加密保存的，但是是直接使用的 windows 加密方案。
也就是当前 windows 帐号下的程序都可以解密密码，其他用户就无法解密。

msg7086

2019-02-20 23:48:40 +08:00

@ysc3839 Chrome 的密钥绑定到当前用户 SID。复制到别的电脑或者用别的 SID 是打不开的。
同理备份 Chrome 的 Cookie 需要连带用户 SID 一起备份，到新电脑下再导入合并到新 SID 下。

Les1ie

2019-02-20 23:59:34 +08:00

chrome 的密码时可以直接读出来的，自己以前写过脚本试过，网上也有很多的脚本
eg: https://github.com/hassaanaliw/chromepass/blob/master/chromepass.py

Les1ie

2019-02-21 00:01:14 +08:00

so, 解决方案是不用 chrome 保存重要的密码，重要密码存密码管理工具或者大脑里面

Les1ie

2019-02-21 00:02:26 +08:00

@cwcauc #10 技术上是没难度的

Osk

2019-02-21 00:04:07 +08:00

可惜了，放弃自己的内核，当年的 opera 真的是很喜欢的浏览器。

更不用说现在被某司收购。

不好意思，和主题无关，感叹下。。。

chocolatesir

2019-02-21 00:08:28 +08:00

yandex 也是这样的

geelaw

2019-02-21 00:20:27 +08:00

题外：正确隔离的方式是建立另一个 Windows 用户，然后给那个用户安装你需要隔离的软件。

msg7086

2019-02-21 02:57:54 +08:00

@Osk 那时候的 Opera 还不需要插 16G 内存就为了开点网页……

第 1 页／共 3 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/536959

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.