这是一个创建于 1690 天前的主题,其中的信息可能已经有所发展或是发生改变。
今天注册了 yandex 的邮箱,在 chrome 登录的,后在 yandex 登录设置一键同步,竟然把 chrome 的所有信息包括网页密码都同步了,吓我一跳,chrome 的本地文件没有设置权限吗?不解? yandex 是怎么做到这种跨账号同步的?大佬们帮忙看看
 |
1
heygum97 2019-09-07 17:44:09 +08:00 via Android
Chrome 的密码好像是本地明文保存的。。贼恐怖。打开 Chrome 显示密码就能看。
|
 |
2
codehz 2019-09-07 17:51:19 +08:00
Chrome 的密码是用当前账户的钥匙串加密的,所以只要登陆了会话,就能直接读取所有密码
|
 |
3
jasondeepy OP @codehz 我是跨浏览器,跨账号,这才吓我一跳,我在 chrome 登录了 yandex 邮箱,然后又在 yandex 浏览器登录了,然后同步账号,就直接全部,注意是全部信息过来了,我擦
|
|
4
codehz 2019-09-07 18:10:12 +08:00 via Android
@jasondeepy 我说的是操作系统账号
|
 |
5
testver 2019-09-07 18:34:37 +08:00 via iPad
yandex 是那个俄罗斯百度吗?
|
 |
6
Nathanzheng 2019-09-07 19:15:12 +08:00 via Android
@testver 是的
|
 |
7
DEANHZED 2019-09-07 19:50:34 +08:00 via iPhone
貌似会跳 UAC 吧?
|
 |
8
hoyixi 2019-09-07 20:57:42 +08:00
yandex 是毛子的,我是不敢让它知道我的密码信息的
|
 |
9
dji38838c 2019-09-07 21:01:00 +08:00
yandex 作为老毛子的东西,法治不佳,保护隐私方面还是要慎重的
|
 |
10
learnshare 2019-09-07 21:06:33 +08:00
Vivaldi 也会通过读本地文件直接导入 Chrome 的信息,Firefox 可以手动导入
|
 |
11
liuxey 2019-09-07 21:47:55 +08:00
是这样子的,新版 Edge 安装完后直接全部导入了我 Chrome 里的密码
|
|
12
jasondeepy OP @codehz 说得不对吧 https://cc.jasondeepny.cn/common/截屏 2019-09-08 上午 11.09.23.png
|
|
13
jasondeepy OP |
|
14
codehz 2019-09-08 11:34:47 +08:00
@DEANHZED # 7 只是障眼法而已
@jasondeepy # 13 自己看 chrome 的 issue 列表,有人提出了这个问题(使用系统内建 API CryptProtectData 加密同步数据),然后官方标记 WontFix 截图里的加密只是在云上的加密,本地还是直接用系统内建的保存方法。 为啥会有这个问题呢,原因就是 Windows 没有应用程序沙箱,这意味着系统无法区分不同程序的加密解密请求,导致只能使用系统提高的 Master 密钥来加密数据,然后所有程序都可以用这个方法来解密任何其他程序的数据。。。就这么简单。。。 使用其他密码(例如谷歌账户的密码)来保存也是不可能的,除非你让用户每次打开 chrome 都输入一次,不然这个额外密码要保存在哪里呢?(总是还得存放在某个其他程序也能访问的目录,然后它们也可以同样方式解密) 除非 chrome 跑进 UWP,不然其他程序总是有方法去解密这些数据( |
|
15
codehz 2019-09-08 11:35:01 +08:00
|
|
16
jasondeepy OP @codehz 我刚忘了说,我的是 Mac……^_^
|
Select Language