首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Get Google Chrome
Vimium · 在 Chrome 里使用 vim 快捷键
V2EX  ›  Chrome

发现一个 chrome 的安全隐患,吓得我赶紧把自动保存的密码都删了

  •  
  •   RogerHzb · 2017-12-21 09:00:13 +08:00 · 12187 次点击
    这是一个创建于 714 天前的主题,其中的信息可能已经有所发展或是发生改变。

    我是 windows 10, chrome 设置里已保存的密码,是可以看明文的, 验证方式出人意料,竟然是 windows 的登录密码, 一般习惯下,windows 登录密码应该算是密码里级别最弱的, 谁没事设置一个复杂的密码每天都得登录好几次的=。= 按我的思维,应该得验证 chrome 账户的密码吧?

    总的来说呢,只要我有了你的 windows 电脑的登录密码, 就可以打开你的 chrome 查看所有你自动保存的网页密码, 所以自动保存密码的时候要再慎重一点了

    第 1 条附言  ·  2017-12-21 09:44:37 +08:00
    首先这不算是一个漏洞

    然后如果 windows 没有登录密码,哈哈,确实直接就显示了 @zyqzyq08

    然后把 input type="password" 改成 type="text" 确实能看到 @shench @Vanilla

    所以就是弱弱地提醒一下,千万不要在公共电脑或者别人电脑里保存密码(废话)

    你看获取隐私是一件多么容易的事情

    只怕有心人(意味深长地说)
    94 回复  |  直到 2017-12-23 11:04:58 +08:00
        1
    codeeer   2017-12-21 09:03:00 +08:00 via iPhone   ♥ 1
    我的登录密码很复杂的,登录可以用 Pin 码的
        2
    zyqzyq08   2017-12-21 09:04:23 +08:00
    那如果。。。windows 没登陆密码呢。。。
        3
    tghgffdgd   2017-12-21 09:07:18 +08:00 via Android   ♥ 6
    假设密码是密文的又怎么样,既然对方都进你 windows 了,直接上你保存密码的网站密码就自己填进去了,剩下你说呢
        4
    whwq2012   2017-12-21 09:07:42 +08:00 via Android
    所以我转到 lastpass 了,现在 chrome 也只存不重要的密码
        5
    treo   2017-12-21 09:08:32 +08:00
    如果攻击者能接触到受害者的计算机,还有了受害者的 win 登录密码,受害者的电脑还有什么安全可言?
    还有 chrome 账户是什么? google 账户吗?难道每次启动 chrome 还输一遍密码?
        6
    tghgffdgd   2017-12-21 09:08:49 +08:00 via Android
    另外 chrome 是加密保存的,你文件复制到另一台电脑或用户里是解密不出来的
        7
    shench   2017-12-21 09:09:02 +08:00
    你 F12 后把密码框改成文本框密码也会显示,那么问题来了,倒底怎样才安全呢?
        8
    Death   2017-12-21 09:09:15 +08:00 via Android
    这没问题呀……系统登录密码本来就很重要呀,而且相对不容易忘。
        9
    vcfghtyjc   2017-12-21 09:09:38 +08:00   ♥ 1
    Keepass 用户表示从来不信任这种服务
        10
    cloudyz   2017-12-21 09:10:10 +08:00
    没记错的话 ie 的 cookie 是明文的。chrome 好歹加密了下
        11
    anyclue   2017-12-21 09:16:51 +08:00
    是你不理解设计的初衷而已,你不会用不是人家不安全
        12
    qcind   2017-12-21 09:17:12 +08:00
    拔网线,拉电源,一劳永逸。
        13
    yyfearth   2017-12-21 09:18:23 +08:00   ♥ 2
    Mac 上面也一样啊 只要有系统秘密就可以看到 Chrome 和 Safari 以及 系统 KeyChain 所有密码

    再说 如果你用 Google 账号密码加密 你愿意每次打开 Chrome 都输入一次?
    你说可以缓存一下这 那么仍然可以打开对应的网页 直接读取 Password
        14
    newbieo0O   2017-12-21 09:18:26 +08:00
    @shench 显示不了的,不能想当然。
        15
    shench   2017-12-21 09:24:07 +08:00
    @newbieo0O 你试过了?
        16
    RogerHzb   2017-12-21 09:27:07 +08:00
    @treo 我的意思并不是极端的攻击,比如说原本我能容忍你在我电脑上用我的优酷账户看视频,但现在你可以偷偷拿到我的密码,你可以在自己的电脑上登录我的优酷账户,这对于我来说是一种意外的情况,密码本身就是秘密
        17
    a441023263   2017-12-21 09:28:03 +08:00
    有啥好担心了,反正 windows 密码只有我知道
        18
    RogerHzb   2017-12-21 09:28:47 +08:00
    @shench 我试了一下,确实可以...
        19
    shench   2017-12-21 09:28:51 +08:00
    @RogerHzb 专门建一个用户
        20
    mayne95   2017-12-21 09:30:08 +08:00
    我发现楼上两人的出发点不一样。 一个意思是在保存了密码的那个网站上,修改 type。一个是说在 chrome 的密码管理里面修改。 前者是可以的,后者不行。版本: 63.0.3239.84 (正式版本) ( 64 位)
        21
    Vanilla   2017-12-21 09:30:22 +08:00   ♥ 12
    你自动填充到网页里然后打开审查工具把 input type="password" 改成 type="text" 就都能看到了 什么漏不漏洞的,年轻人不要一天竟想着搞个大新闻然后把 Google 批判一番
        22
    jiezhi   2017-12-21 09:32:43 +08:00 via iPhone
    大门的锁重要还是卧室的锁重要?
        23
    zlfzy   2017-12-21 09:35:19 +08:00
    多余,现在大厂的产品不是你有密码就能登录了,像淘宝支付宝 QQ 微信京东这种登录的时候都是有非常用环境监测的,以为搞到密码就能随便一台机登录别人的账号怕是想多了。不过我还是建议你拔掉网线比较安全,小心你使用非 ssl 加密的产品被人抓包分析出密码来。
        24
    wclebb   2017-12-21 09:35:26 +08:00
    Windows 帐号密码有分两种。
    本机和 microsoft 帐号。

    我是 microsoft 帐号,弹出 Chrome 查看密码时,是只能 microsoft 密码输入的。
    但这也有问题,我是觉得 Chrome 也应当负责验证这个,Chrome 的密码验证了,那么保存的密码也可以查看,而不是由系统负责。
        25
    Bingbing   2017-12-21 09:36:12 +08:00
    这个你电脑的登录密码只有自己知道吧,而且感觉这样也还可以吧,有时候密码忘记了可以去自己通过电脑登录密码查看下
        26
    340244120   2017-12-21 09:37:18 +08:00
    不晓得 chrome 啥时候改的,反正 14 年之前的版本,连 windows 密码都不用输就能看~
        27
    mozutaba   2017-12-21 09:37:37 +08:00   ♥ 1
    我有你的指纹还能付款呐
        28
    chairuosen   2017-12-21 09:38:34 +08:00
    都拿到你电脑了,并且用户密码都知道,还有什么不能干的?
        29
    gaolycn   2017-12-21 09:44:25 +08:00 via Android
    楼主好年轻,都登录你操作系统了,密码本来就是自动填充的,有什么安全可言。不要太程序员思维。
        30
    stephenyin   2017-12-21 09:45:25 +08:00   ♥ 1
    重要的账号和重要的操作都要 2FA, 不怕.
        31
    hellommd   2017-12-21 09:47:00 +08:00
    这个问题,Google 很早之前说过了。只是楼主以“安全隐患”命名标题会引起争议。
        32
    gaolycn   2017-12-21 09:48:55 +08:00 via Android
    就算填充到密码文本框里的是星号,改 type 或者 F12 看下请求参数,分分钟得到明文密码,你说的用 Google 账号密码验证,只是程序员思维。
        33
    RogerHzb   2017-12-21 09:49:42 +08:00
    @hellommd 确实随手写了个标题,欠考虑了
        34
    hyyou2010   2017-12-21 09:53:31 +08:00
    留意过这个问题。FireFox 可以设置一个浏览器主密码,必须通过这个主密码才能查看浏览器保存的密码。印象中,Chrome 的方面认为 FireFox 这个保护其实很容易戳破,所以干脆不加这一层(我个人还是认为应该加这一层)。
        35
    boboliu   2017-12-21 09:54:48 +08:00 via Android
    正在转移到 keepass,但是 chrome 保存的量着实有点大。。。只好慢慢来了
        36
    newbieo0O   2017-12-21 10:01:55 +08:00
    @shench ![]( )
        37
    tghgffdgd   2017-12-21 10:06:28 +08:00
    @newbieo0O 人家跟你说的是网站那里又不是设置里面的
        38
    shench   2017-12-21 10:09:28 +08:00
    @newbieo0O 好吧,出发点不一样
        39
    newbieo0O   2017-12-21 10:09:32 +08:00
    @tghgffdgd 是吗?
        40
    tghgffdgd   2017-12-21 10:16:03 +08:00
    @newbieo0O 就这个界面左边就有网址,你点开之后填充了密码然后你试试
        41
    evagreenworking   2017-12-21 10:20:57 +08:00   ♥ 1
    @boboliu chrome://flags/#password-export; 胆子大的话还可以 chrome://flags/#PasswordImport
        42
    tjsdtc   2017-12-21 10:29:51 +08:00
    控制台 $$('[type="password"]')[0].value 也能看到。
        43
    iVeego   2017-12-21 10:36:04 +08:00
    这个问题很久前在 V2 就有过讨论了吧?到现在竟然还没有人回复:如果有人可以物理接触到你的电脑,就没有安全可言了。
        44
    jason19659   2017-12-21 10:39:03 +08:00
    F12 抓个包都看到了
        45
    nfroot   2017-12-21 10:39:37 +08:00
    不管你怎么牛逼

    F12 后点登录,看网络请求,啥玩意都有,如果传输加密,自己搞个模拟表单也非常容易

    总而言之,言而总之,一个坏蛋有你的密码,还能使用你的电脑,分分钟打开你的密码管理器是很容易的,就算打不开,做个模拟表单很难吗?

    可能有人觉得提高了门槛,其实不然,如果需要这样做才能拿到密码,那么网上很快会出现这样的教程。反正操作起来不难。
        46
    UnknownR   2017-12-21 10:46:23 +08:00
    @codeeer 查看的时候会像你要 credential,设置了 PIN 码会跳转到 PIN 码输入,不知道是不是只设置了 Windows Hello 了的才可以
        47
    nfroot   2017-12-21 10:48:50 +08:00
    你想要方便,就会丢了安全性。特别是保存密码,保存了是为啥?是为了输入,就网页这种情景,第三方去做保存密码,想做到不泄露,太难,或者说不现实。

    想要安全,首先你就得让浏览器无法让用户改变页面、脚本,你还得重新涉及网络请求,让嗅探无法存在,然后呢?然后你会发现,这玩意已经不能叫网页了,叫客户端吧。

    然后你会发现,即便是客户端,也无法防止用户采用外挂的方式去盗号……
        48
    twor2   2017-12-21 10:50:58 +08:00
    村通电
        49
    ruimz   2017-12-21 10:52:47 +08:00 via Android   ♥ 1
    @iVeego 3 楼 5 楼都说了: )
        50
    iyaozhen   2017-12-21 11:08:27 +08:00 via Android
    这帖子每过一阵子就会出现一次
        51
    lukunlin   2017-12-21 11:11:36 +08:00
    对,加个 ID,直接用 JS 也能直接获取的
        52
    Kimyx   2017-12-21 11:11:49 +08:00
    虽然知道,但是 Chrome 密码自动填充还是太方便不舍得 我连 Enpass 插件都没用
        53
    heiyutian   2017-12-21 11:13:55 +08:00 via Android
    能不能简单点,别的软件能不能把我 chrome 数据复制上传,然后他们就能查看我的密码?
        54
    skylancer   2017-12-21 11:17:07 +08:00
    都能物理接触你的电脑了你还想要安全也是挺搞笑
        55
    skylancer   2017-12-21 11:17:49 +08:00
    应付别人借电脑的需求我大概会建议卤煮开另一个账户或者直接用 Guest 会比较好
        56
    Davidwg   2017-12-21 11:26:42 +08:00
    月经贴

    为啥没人说 safrai 也是呢
        57
    bao3   2017-12-21 11:37:15 +08:00 via iPhone
    照楼主这么说,mac 上没有浏览器可用了,safari,chrome 和 firefox 都是直接用登录密码来显示所有密码的。。。
        58
    dndx   2017-12-21 11:50:04 +08:00
    浏览器保存密码肯定都是明文或者可逆加密的,而可逆加密基本上跟明文没啥区别,Chrome 这么做一点问题也没有。如果怕的话不保存就好了。
        59
    Clarencep   2017-12-21 11:54:37 +08:00
    话说都有你电脑密码了,那都能随便操作你的电脑了。搞个木马或键盘监听器岂不更佳。
        60
    ZRS   2017-12-21 12:33:03 +08:00
    Mac 的 Keychain 也是这样的..
        61
    konakona   2017-12-21 12:50:00 +08:00
    Mac 也是这样的啊。
    这个机能貌似么有问题啊- -
        62
    t123yh   2017-12-21 12:51:18 +08:00 via Android
    如果我有了你的登录密码了,我是不是可以在你的电脑上装一个键盘记录器之类的玩意儿,你的 Chrome 密码加密再复杂又有什么用呢。所以设置复杂的 Windows 登录密码才是正道。另外你说的“每天按好几次”,推荐你去了解一下 Windows 8 或者 10 的 PIN 登录功能。
        63
    ihjk   2017-12-21 12:52:32 +08:00
    我的 win 登录密码借鉴手机滑屏,从 caps lock 滑到 enter。
        64
    oonnnoo   2017-12-21 12:58:28 +08:00 via Android
    登录 Windows,电脑里文档、照片、小电影都可以看到,太可怕了,吓得赶紧删掉
        65
    xian   2017-12-21 13:49:45 +08:00   ♥ 1
    发现一个键盘的安全隐患,吓得我赶紧把我的键盘扔了

    我是一个网吧键盘侠,我网上所有的密码都是我通过键盘输入的。 我发现我在输入密码的时候,隔壁是可以清楚看到我按了那些键的, 除非隔壁没人, 一般情况下,除非是穷死肥宅, 谁身边隔壁没个人啊=。= 按我的思维,键盘应该做成暗箱盲打,不能让隔壁看到你按了哪些键,不然密码还有什么安全可言?

    手动 doge
        66
    cai314494687   2017-12-21 14:10:33 +08:00
    把 input type="password" 改成 type="text"

    我经常用这招看以前我保存的是啥密码,因为手机登录需要输入密码的时候,我自己都忘记是啥密码了
        67
    jinhan13789991   2017-12-21 14:20:06 +08:00
    话说,我是用谷歌账户登录的 v2,现在 v2 密码是什么都不知道了,实名认证都不能搞了
        68
    tabris17   2017-12-21 14:28:19 +08:00
    google 说了,如果攻击者能物理接触你的电脑,那么表单密码是否加密根本不会影响到攻击者窃取你的密码。

    我个人也认同 google 的说法。加密反而多此一举
        69
    xuboying   2017-12-21 14:30:15 +08:00 via Android
    @newbieo0O 没有意义的 f12,不能直接一些点眼睛么👀
        70
    xuboying   2017-12-21 14:30:42 +08:00 via Android
    不是大新闻,不过提醒一下大家总是好的
        71
    crystom   2017-12-21 14:36:20 +08:00
    好像 devtools 里面的 network 标签,对含密码的请求不会显示表单体
        72
    GuLuDaDuiZhang   2017-12-21 15:50:09 +08:00
    关于谷歌的做法,不赞同也不反对。

    不赞同是因为进了游览器,在设置里面就可以直接查看到保存的密码,这有特殊情况,电脑要给他人使用就容易泄露密码,这让人很不安啊。

    不反对是因为查看密码大多数人不知道,把电脑给别人用的可能性也很小,你也肯定不会把电脑给不信任的人用,最重要的是绝大多数人对你的密码并不感兴趣。

    比起担心保存的密码被人偷看,更应该担心的是密码被泄露。密码复杂度低,字典轻松攻破。密码全网通用,分分钟进社工库,然后被收入进字典。我两个常用密码几年前就进了社工库 T^T,虽然现在还在用。
        73
    Phariel   2017-12-21 15:51:01 +08:00 via Android
    你这种想搞大新闻的我每年在 V2 上都能看到几个。。。
        74
    lixs   2017-12-21 16:48:33 +08:00 via Android
    safari 也是啊~用密码插件多好~多平台同步也省事
        75
    a4854857   2017-12-21 17:38:32 +08:00
    我觉得能让 chrome 保存的密码也不是重要的.
        76
    SourceMan   2017-12-21 17:41:27 +08:00
    曾经有客户说,他在 devtools 下面的 network 选项卡下面,看到了明文传输的密码( HTTPS 协议),要我们进行加密传输。
        77
    robinlovemaggie   2017-12-21 17:47:12 +08:00
    难道你电脑丢了,Google 也要为你的密码丢失负责?况且这个自动填充是你在点同意的前提下才有。
        78
    yonoho   2017-12-21 17:52:05 +08:00   ♥ 1
    最大的安全隐患是楼主认为 [windows 登录密码应该算是密码里级别最弱的]
        79
    usedname   2017-12-21 18:04:41 +08:00
    @Phariel #73 不然怎么丰富 block 列表呢?
        80
    jarnanchen   2017-12-21 18:15:49 +08:00
    我认为楼主的提醒很有意义。
    试了几个浏览器,基本上都是这样的实现。这也提醒了大家,电脑设置开机锁屏密码的重要性。
        81
    yingfengi   2017-12-21 18:36:28 +08:00 via Android
    +1
        82
    geelaw   2017-12-21 18:44:48 +08:00
    ……我就提醒一下:借给别人用电脑的时候,请你看着,或者开全盘加密 + 给对方建一个临时的账户。

    @wclebb 这并不算是分两种,要这样说的话你还忘了考虑 AAD 和 AD。本地账户和 Microsoft 账户的身份权威(身份提供者,identity authority, the authority that issues identity )不同,一个是本机,一个是 Microsoft。AAD 和 AD 则是域控制器。

    @gaolycn 这怎么就是程序员思维了呢?楼主的想法是安全小白的思维。
        83
    Shura   2017-12-21 19:33:10 +08:00
        84
    dhssingle   2017-12-21 20:31:57 +08:00
    GG 还是 MM 啊
        85
    mxalbert1996   2017-12-21 20:59:37 +08:00 via Android
    你可以设置「使用您自己的同步密码加密已同步的数据」啊
        86
    wclebb   2017-12-21 21:01:44 +08:00
    @geelaw #82 非常感谢你的解释。
    不过,我不是「忘记」。
    而是不知道……
        87
    88080398   2017-12-21 23:35:03 +08:00 via Android
    涉及钱和不为人知的密码,统统记在脑子里。
        88
    sensui7   2017-12-22 01:44:57 +08:00 via iPhone
    一般安全策略都要假定用户的机器是安全的。

    如果这个前提都没有,那已经没有任何策略管用了。

    你的电脑都被别人使用了,你还要什么安全?
        89
    SlipStupig   2017-12-22 03:32:51 +08:00
    @xian 暗箱盲打也不行,因为击键的会有声音区别,把你整个过程声音录下来,慢慢还原,也能恢复出你的按键
        90
    20015jjw   2017-12-22 06:53:31 +08:00 via Android
    @GuLuDaDuiZhang 借给人家不开访客账户那不是活该被偷密码么

    心疼 lz 的安全常识
        91
    shenyu1996   2017-12-22 08:14:52 +08:00 via Android
    很方便啊,之前经常 steam,origin 什么的密码忘掉,就是这么找回来的啊 2333
        92
    trotyoung   2017-12-22 08:49:13 +08:00 via iPhone
    @RogerHzb 看视频可以用来宾账户,都进系统了,还有什么安全可言。或者说基本上摸到硬件,就已经不安全了。
        93
    zckevin   2017-12-23 10:29:22 +08:00
    都物理接触了还谈啥安全不安全的。
        94
    colorwin   2017-12-23 11:04:58 +08:00 via Android
    你知道 cookie 吗,登陆你的电脑还有什么安全可言
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2121 人在线   最高记录 5043   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 34ms · UTC 15:53 · PVG 23:53 · LAX 07:53 · JFK 10:53
    ♥ Do have faith in what you're doing.