为什么导入浏览器的敏感数据不需要密码?

2021-06-26 16:28:47 +08:00
 evilStart
各大浏览器如果要导入其他浏览器的数据的话,特别是保存的登录信息,都不需要密码就能直接导入,这是怎么做到的?各大浏览器的登录密码数据难道可以随意访问么?为什么在浏览器内查看自己保存的登录信息却又要输入密码?
3891 次点击
所在节点    浏览器
19 条回复
MakeItGreat
2021-06-26 16:34:09 +08:00
你从其他浏览器导出的时候应该提醒你安全性了
密码文件就是个 CSV,直接就能打开
MakeItGreat
2021-06-26 16:34:57 +08:00
@MakeItGreat 看错了
应该是导入的 Cookie,这个确实可以访问
viewer003
2021-06-26 16:43:30 +08:00
刚刚试了下 在 safari 里倒入 chrome 的书签和密码,需要输入密码啊。。
Yadomin
2021-06-26 16:51:05 +08:00
按说都是 Chromium 浏览器直接复制那个 Login Data 就可以了

这里还有一个不用密码解密的 https://github.com/moonD4rk/HackBrowserData
ziseyinzi
2021-06-26 16:51:30 +08:00
就是明文保存的,以前自己看也不需要密码,后来加了个密码骗骗你让你以为加密了
Yadomin
2021-06-26 17:01:16 +08:00
Lemeng
2021-06-26 17:05:13 +08:00
保存原位置就不需要密码可查看。导入不需密码,好像也没太大问题
DrakeXiang
2021-06-26 17:30:04 +08:00
至少在以前,浏览器保存的密码是明文保存的,以前有的浏览器会让你选择是否设置一个主密码,这样每次需要使用已经保存过的密码就要输入主密码,这样的话是加密保存的,但是每次都输个密码太麻烦,所以一般没人会这么干
leido
2021-06-26 17:50:27 +08:00
用火绒保护浏览器目录是基本操作.

比如 Chrome, 添加 C:\Users\{Username}\AppData\Local\Google\Chrome\*
passerbytiny
2021-06-26 19:31:59 +08:00
你说得这些,数据都是在你自己电脑上转移,不经过互联网。这在通用安全体系里面并不属于敏感数据,弄个 4 位数字的 pin 码保护一下就超级安全了。

以前的安全体系更多的是考虑传输过程的安全,本地数据基本都不管的。本地数据,或者说隐私数据,加入到安全体系,是这几年才有的事。
sephinh
2021-06-26 19:39:35 +08:00
Chrome 的账户资料是通过系统登录账号验证安全的,在你登录的状态就是明文了
kebamt
2021-06-27 02:49:38 +08:00
@Yadomin IE & Safari 获胜!
kebamt
2021-06-27 03:01:43 +08:00
这个安全问题确实得考虑,如果电脑中病毒上传给攻击者就完蛋了。(我前不久就这样遭攻击了,现在还在不断攻击我,逼我好多网站使用强密码+2FA+安全软件)
ho121
2021-06-27 09:46:13 +08:00
@passerbytiny 不排除有其它软件偷取
evilStart
2021-06-27 12:11:16 +08:00
@MakeItGreat 不是导入的 cookie,是密码。
@sephinh 和 crhome 账户无关。我的意思是 本地安装一个新的浏览器,比如 chorme 或者 firefox,导入本地其他浏览器(比如 firefox 或者 edge )保存的密码数据都不需要认证,可以直接导入。这不就说明所有浏览器保存的密码都可以被任意读取吗?
evilStart
2021-06-27 12:19:10 +08:00
@passerbytiny 本地数据也是有不同的安全等级的。你的安全体系那是生活在虚空的安全体系吗?操作系统的登录密码就是加密保存的,依照你的安全体系也不用这么麻烦,反正都的本地麻。
no1xsyzy
2021-06-27 20:19:05 +08:00
@evilStart #11 说的不是 Chrome 账户,而是 Windows 账户密钥体系 / Mac OS 钥匙串 / Linux 下似乎是 keyring (基于 PAM ?)(仅作解释,我对此也存疑)
我所知范围内 python-poetry 里保存 PyPI 的登录信息或者 Token 是会塞到这个东西里面去的。随着 Windows 账户 / Mac OS 账户登录解密。可以看下 poetry 的代码,但我不记得是哪块了。

我记得的说法是只有 Firefox 的主密码才是真正意义上的加密,其他都是给你装样子的。
一般安全设计中本地默认全都是安全的,已经能执行代码了那加密很大程度上就是白看的,就算搞个 2147483648 位的强加密,给你来个钓鱼窗口不就全解了?
如果你需要运行一些你不信任的软件,你需要手动隔离环境运行。
liuidetmks
2021-06-28 10:49:48 +08:00
@DrakeXiang 为什么不用用户的登录密码来生成一个 加密密码呢?
DrakeXiang
2021-06-28 21:15:47 +08:00
@liuidetmks 用什么密码不是关键,关键是我记得之前如果开启了主密码的话很多操作都需要输密码才能完成,比如收藏网站啥的,反正特别不方便,现在好像没见这种设置了,应该都是把这些东西交给第三方扩展了吧

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/785944

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX