浏览器非常不安全!

2023-10-31 11:30:44 +08:00
 xxl123456

现在电脑上有谷歌浏览器登录一个账号,edge 登录另一个账号, 现在我的操作来了,先卸载 edge ,用 geek 卸载,然后重新从官网下,下载完成之后打开,之前 edge 登录的账号还在登录, 并且 edge 把谷歌浏览器账号的书签、历史记录、扩展,甚至密码都导入到 edge 的账号中, 有没有大佬知道为啥会这样?

12803 次点击
所在节点    浏览器
78 条回复
AoEiuV020JP
2023-10-31 11:38:56 +08:00
听起来没什么问题,
卸载保留用户数据也是常见的了,
win 版 chrome 用户数据本来就是默认不加密的谁都能读取一直是这样的,
coinxu
2023-10-31 11:40:06 +08:00
除非你没有锁屏的习惯,要不然确实不安全
opengps
2023-10-31 11:40:46 +08:00
edge 会自动从 chrome 里导入东西
HomeZane
2023-10-31 11:43:11 +08:00
你这标题,是骗人进来吗
hanssx
2023-10-31 11:43:11 +08:00
用户数据是在你本地的某个浏览器目录的,它应该是读取了 chrome 的。
fzls
2023-10-31 11:43:15 +08:00
程序目录和数据目录不在同一个地方吧-。-你卸载的时候没有干掉数据目录
qinyui
2023-10-31 11:43:50 +08:00
@AoEiuV020JP 啊?那 win 上的任何软件岂不是都可以随意读取 chrome 里保存的所有密码了?
retNu1l
2023-10-31 11:47:52 +08:00
mimikatz 了解一下,数据保存在本地的,你应该是安装新浏览器是授权导入其他浏览器数据了。
zealotxxxx
2023-10-31 11:48:09 +08:00
你的密码都是本地明文保存的,同浏览器读取很正常。你都把软件安装到本地了,如果是病毒就算不是 edge 你也出事儿了。
密码的性质决定了不可以走哈希,最多搞加密,但是你就算加密也是密钥放本地,多此一举。


https://softwareengineering.stackexchange.com/questions/141402/how-does-a-web-browser-save-passwords
vikaptain
2023-10-31 11:49:43 +08:00
你卸载只删除了程序文件,没有清空数据。
浏览器的密码都是明文存储的
你应该是在 edge 启动的时候导入了 chrome 的数据,所以 chrome 的记录同步到了 edge 中。
都是正常行为,没有发现不安全的地方。
wy315700
2023-10-31 11:50:15 +08:00
@qinyui
你是不是对 PC 的安全性有什么误解,以前的时候其他软件拿到管理员权限以后甚至可以直接读取 chrome 的内存。。
所以 PC 上需要安装杀毒软件防护软件。
ysc3839
2023-10-31 11:51:33 +08:00
@AoEiuV020JP @qinyui
Windows 和传统桌面 Linux 没有严格的沙盒机制,一个程序如果不依赖外部密码就能读取某些数据的话,另一个程序也能做到。
macOS 对此的解决方案是,系统的钥匙串可以分应用限制读取,比如说是 A 应用创建的,那就只有 A 应用能读取,其他应用要读取的话需要管理员权限。而 A 应用的识别则是通过包名和签名。需要注意的是,macOS 非商店应用没有文件沙盒,A 应用是能读取 B 应用的各种数据的,只能通过数据加密来保证安全。
Android 和 iOS 的解决方案是,不同应用数据隔离,应用只能读取自己的数据。
AoEiuV020JP
2023-10-31 11:52:15 +08:00
@qinyui #7 确实是这样的,方便和安全不可兼得,
chrome 密码实际上是加密的,只不过加密方式和密钥本身是不加密的,等于不加密,
你想想,如果 chrome 真的把数据加密了,那你用的时候都要解密是不是很麻烦,实际上你使用 chrome 并不涉及解密对吧,
linux 版 chrome 默认第一次打开就会问你要密码,设置以后每次启动 chrome 都要输入密码解锁,麻烦的一匹,我都是设置空密码,就不用解密,
tool2d
2023-10-31 11:56:57 +08:00
我记得 windows 的 chrome 数据都是和登录账号绑定的,你用另外一个帐号登录 windows ,应该就没办法导入浏览器密码了。

从这点意义上来说,数据是安全的。
shyangs
2023-10-31 11:57:21 +08:00
Firefox 設了主控密碼,(網站登入密碼)就是真加密.
declandragon
2023-10-31 12:14:18 +08:00
edge 是微软的,windwos 也是微软的,他们在系统层面想做啥就做啥。是这个意思吧?
Lightbright
2023-10-31 12:31:43 +08:00
哥,我以为你要爆几个 Chrome 0day 出来呢
EVANGELIONAir
2023-10-31 13:14:23 +08:00
首先用户目录和程序目录是独立的,你别告诉我你 linux 卸载软件包能够把你用户目录也给删的,这不可能,其次,edge 首次打开的引导界面就会 [明确弹出] 是否定期导入 chrome 的数据 的选项
LOGOSJ
2023-10-31 13:21:54 +08:00
@ysc3839 那是说非应用商店下载的 A 能读取到非应用商店下载的 B 创建的钥匙串?太可怕了吧
ysc3839
2023-10-31 13:23:55 +08:00
@LOGOSJ 钥匙串是不行的,除非有管理员权限。但是文件是可以的,非商店应用,只有在访问桌面、下载等特定的几个文件夹时会提示用户授权,访问别的应用的配置文件是不需要授权的。
可以下载个第三方的终端应用,自己输入命令访问试试。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/987029

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX