V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
jasondeepy
V2EX  ›  分享发现

登录下邮箱, chrome 的所有信息包括网页密码都同步了

  •  2
     
  •   jasondeepy · 2019-09-07 17:31:07 +08:00 · 3031 次点击
    这是一个创建于 1896 天前的主题,其中的信息可能已经有所发展或是发生改变。

    今天注册了 yandex 的邮箱,在 chrome 登录的,后在 yandex 登录设置一键同步,竟然把 chrome 的所有信息包括网页密码都同步了,吓我一跳,chrome 的本地文件没有设置权限吗?不解? yandex 是怎么做到这种跨账号同步的?大佬们帮忙看看

    16 条回复    2019-09-08 12:04:17 +08:00
    heygum97
        1
    heygum97  
       2019-09-07 17:44:09 +08:00 via Android
    Chrome 的密码好像是本地明文保存的。。贼恐怖。打开 Chrome 显示密码就能看。
    codehz
        2
    codehz  
       2019-09-07 17:51:19 +08:00
    Chrome 的密码是用当前账户的钥匙串加密的,所以只要登陆了会话,就能直接读取所有密码
    jasondeepy
        3
    jasondeepy  
    OP
       2019-09-07 18:01:09 +08:00
    @codehz 我是跨浏览器,跨账号,这才吓我一跳,我在 chrome 登录了 yandex 邮箱,然后又在 yandex 浏览器登录了,然后同步账号,就直接全部,注意是全部信息过来了,我擦
    codehz
        4
    codehz  
       2019-09-07 18:10:12 +08:00 via Android
    @jasondeepy 我说的是操作系统账号
    testver
        5
    testver  
       2019-09-07 18:34:37 +08:00 via iPad
    yandex 是那个俄罗斯百度吗?
    Nathanzheng
        6
    Nathanzheng  
       2019-09-07 19:15:12 +08:00 via Android
    @testver 是的
    DEANHZED
        7
    DEANHZED  
       2019-09-07 19:50:34 +08:00 via iPhone
    貌似会跳 UAC 吧?
    hoyixi
        8
    hoyixi  
       2019-09-07 20:57:42 +08:00
    yandex 是毛子的,我是不敢让它知道我的密码信息的
    dji38838c
        9
    dji38838c  
       2019-09-07 21:01:00 +08:00
    yandex 作为老毛子的东西,法治不佳,保护隐私方面还是要慎重的
    learnshare
        10
    learnshare  
       2019-09-07 21:06:33 +08:00
    Vivaldi 也会通过读本地文件直接导入 Chrome 的信息,Firefox 可以手动导入
    liuxey
        11
    liuxey  
       2019-09-07 21:47:55 +08:00
    是这样子的,新版 Edge 安装完后直接全部导入了我 Chrome 里的密码
    jasondeepy
        12
    jasondeepy  
    OP
       2019-09-08 11:12:52 +08:00
    @codehz 说得不对吧 https://cc.jasondeepny.cn/common/截屏 2019-09-08 上午 11.09.23.png
    jasondeepy
        13
    jasondeepy  
    OP
       2019-09-08 11:16:48 +08:00
    codehz
        14
    codehz  
       2019-09-08 11:34:47 +08:00
    @DEANHZED # 7 只是障眼法而已
    @jasondeepy # 13 自己看 chrome 的 issue 列表,有人提出了这个问题(使用系统内建 API CryptProtectData 加密同步数据),然后官方标记 WontFix
    截图里的加密只是在云上的加密,本地还是直接用系统内建的保存方法。
    为啥会有这个问题呢,原因就是 Windows 没有应用程序沙箱,这意味着系统无法区分不同程序的加密解密请求,导致只能使用系统提高的 Master 密钥来加密数据,然后所有程序都可以用这个方法来解密任何其他程序的数据。。。就这么简单。。。
    使用其他密码(例如谷歌账户的密码)来保存也是不可能的,除非你让用户每次打开 chrome 都输入一次,不然这个额外密码要保存在哪里呢?(总是还得存放在某个其他程序也能访问的目录,然后它们也可以同样方式解密)
    除非 chrome 跑进 UWP,不然其他程序总是有方法去解密这些数据(
    codehz
        15
    codehz  
       2019-09-08 11:35:01 +08:00
    jasondeepy
        16
    jasondeepy  
    OP
       2019-09-08 12:04:17 +08:00
    @codehz 我刚忘了说,我的是 Mac……^_^
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2680 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 21ms · UTC 01:54 · PVG 09:54 · LAX 17:54 · JFK 20:54
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.