Opera 浏览器 PC 版,换用 Chromium 内核后,竟然可以不经用户明文许可直接读取 Chrome 保存的密码……

2019-02-20 17:19:18 +08:00
 realpg

PC 装了个 Opear 浏览器,就是为了隔离账户。

结果,Opera 不经我许可,直接可以读取 Chrome 保存的密码(主存储于 google 账户)……

Opera 未登录 google 账户,opera 账户,貌似是直接去读 Chrome 的文件,完全未经过我的许可……

这波操作实在是厉害至极

5855 次点击
所在节点    程序员
46 条回复
fuchaofather
2019-02-20 17:35:03 +08:00
是的, 我也发现了
envylee
2019-02-20 18:52:14 +08:00
对啊,这个只能怪 chrome,他们的密码保存机制本来就是在本地明文存储的
realpg
2019-02-20 19:10:35 +08:00
@envylee #2
别人知道你的东西在哪就可以随便拿?
invalidtoken
2019-02-20 19:11:22 +08:00
realpg
2019-02-20 19:17:18 +08:00
@invalidtoken #4
Chrome is not my default browser.
jousca
2019-02-20 19:18:45 +08:00
@realpg OPERA 认为它是你的 default browser.
Imr
2019-02-20 20:53:13 +08:00
win 版 chrome 密码是存在 win 系统凭证里面的,只要有当前账号权限就可以访问到,不涉及到连接 chrome
disk
2019-02-20 20:54:37 +08:00
@envylee 明明是用本地登录凭证调用系统 api 加密存储的
realpg
2019-02-20 20:59:15 +08:00
@Imr #7
已翻阅本机 windows 系统凭据,没发现有浏览器密码。
不过 windows 自身提到的是默认保管位置
正在咨询 Google 浏览器项目组的大佬,马上有答复
cwcauc
2019-02-20 20:59:37 +08:00
那要是一众国产软件想调取就可以直接调取吗……
ysc3839
2019-02-20 21:46:38 +08:00
Chrome 保存的密码并没有引入外部密钥来加密,也就是说要不然没加密,要不然密钥存在本地。
gamexg
2019-02-20 21:57:22 +08:00
@envylee #2 chrome 密码是加密保存的,但是是直接使用的 windows 加密方案。
也就是当前 windows 帐号下的程序都可以解密密码,其他用户就无法解密。
msg7086
2019-02-20 23:48:40 +08:00
@ysc3839 Chrome 的密钥绑定到当前用户 SID。复制到别的电脑或者用别的 SID 是打不开的。
同理备份 Chrome 的 Cookie 需要连带用户 SID 一起备份,到新电脑下再导入合并到新 SID 下。
Les1ie
2019-02-20 23:59:34 +08:00
chrome 的密码时可以直接读出来的,自己以前写过脚本试过,网上也有很多的脚本
eg: https://github.com/hassaanaliw/chromepass/blob/master/chromepass.py
Les1ie
2019-02-21 00:01:14 +08:00
so, 解决方案是不用 chrome 保存重要的密码,重要密码存密码管理工具或者大脑里面
Les1ie
2019-02-21 00:02:26 +08:00
@cwcauc #10 技术上是没难度的
Osk
2019-02-21 00:04:07 +08:00
可惜了,放弃自己的内核,当年的 opera 真的是很喜欢的浏览器。

更不用说现在被某司收购。

不好意思,和主题无关,感叹下。。。
chocolatesir
2019-02-21 00:08:28 +08:00
yandex 也是这样的
geelaw
2019-02-21 00:20:27 +08:00
题外:正确隔离的方式是建立另一个 Windows 用户,然后给那个用户安装你需要隔离的软件。
msg7086
2019-02-21 02:57:54 +08:00
@Osk 那时候的 Opera 还不需要插 16G 内存就为了开点网页……

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/536959

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX