V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
mengyx
V2EX  ›  互联网

QQ 正在尝试读取你的浏览记录

  mengyx · 2021-01-14 20:48:41 +08:00 · 114074 次点击
这是一个创建于 1410 天前的主题,其中的信息可能已经有所发展或是发生改变。

前些天用 QQ,为了防止一些流氓行为,特地去的 MS Store 里面安装的 QQ 桌面版。

幸好之前用火绒的自定义拦截功能,设置了一些重要或敏感数据目录的保护。

拦截日志如下:

Imgur

第 1 条附言  ·  2021-01-17 00:57:25 +08:00
@qwqdanchun #21 对 QQ 的行为进行进行了逆向分析,实锤了 https://bbs.pediy.com/thread-265359.htm
第 2 条附言  ·  2021-01-17 12:50:59 +08:00

以History为关键字,最早可以追溯到9.1.5版本(2019年6月),这么说此种行为至少已经进行一年半了:

第 3 条附言  ·  2021-01-18 11:31:03 +08:00

简单总结一下:

影响范围

具体行为

  1. 登录10分钟之后,读取浏览器浏览历史
    • 读取 %LocalAppData% 目录下所有基于Chromium的浏览器历史记录;具体见@qwqdanchun #21 的分析
    • 读取IE历史(FindFirstUrlCacheEntryW),具体见 @raion #229
  2. 对读取到的url进行md5,并在本地进行比较 @swchzq #157
  3. md5匹配的情况下,上传相应分组ID(主要为电商、股票等关键词),详见@Terang #166, @raion #229

事件进展

  • 目前,QQ 9.4.2 (发布于2021/01/17 20:32)移除了相应代码,暂停了侵害行为 (thx: @weifan #368)
  • 目前,TIM 3.3.0 (发布于2021/01/17 21:39)移除了相应代码,暂停了侵害行为
592 条回复    2024-06-06 08:43:40 +08:00
1  2  3  4  5  6  
fcoolish
    201
fcoolish  
   2021-01-17 16:52:03 +08:00
腾讯好恶心
xjbeta
    202
xjbeta  
   2021-01-17 16:52:42 +08:00   ❤️ 4
@pepsi537 @nuevepicos @inhd macOS 请使用 MAS 下载的版本 沙盒应用没那权限 相对安全一些
个人建议删除某个叫 jietu 的附属组件 位置在 `/Applications/QQ.app/Contents/Library/LoginItems/`

警惕需要各种目录权限 或者非沙盒的企鹅应用 包括不限于
柠檬清理
看图
user0
    203
user0  
   2021-01-17 16:55:00 +08:00
@mengyx 用了你提供的规则,发现 easyconnect 也在读取浏览记录,感谢
(不要吐槽我为啥用 easyconnect )
janssenkm
    204
janssenkm  
   2021-01-17 16:55:07 +08:00   ❤️ 3
这个帖子会不会让火绒火起来了。说不定还会引起第三次世界大战,或者火 Q 大战再现。
3Q 大战的截图我都存着呢,只是在哪个目录一下子想不起来了。
DOLLOR
    205
DOLLOR  
   2021-01-17 16:55:32 +08:00
好像基于 chromium 内核的浏览器都会中招,不知 Firefox 和旧内核 edge 会不会被偷窥?
lifetimeporn
    206
lifetimeporn  
   2021-01-17 16:59:21 +08:00
@user0 #203 啊这。。。我电脑仅存的国产软件。。。工作必须啊,咋办
hfc
    207
hfc  
   2021-01-17 17:00:50 +08:00   ❤️ 5
已向 http://pip.tc260.org.cn/ 进行举报
docx
    208
docx  
   2021-01-17 17:02:22 +08:00
这样是不是躲过一劫?

- 版本 QQ 8.9.19990 绿色版
- 启动 20 分钟,火绒剑没有检测到对浏览器 History 文件的访问
- 没有你们说的 temphis.db 文件
- 用了 @swchzq 的脚本,返回结果是 Nothing
kernelpanic
    209
kernelpanic  
   2021-01-17 17:02:27 +08:00
哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈哈, 你们电脑上装了 QQ 的,是不是相当于在腾讯面前裸奔了一年? 每周上几次 P 站, 看什么类型的片他都知道
snw
    210
snw  
   2021-01-17 17:06:43 +08:00 via Android
@swchzq
这个怎么计算的?我算了下 JD 的和 VINTAGE 的 md5 但好像对不上图中的 md5
Howard2000
    211
Howard2000  
   2021-01-17 17:06:55 +08:00
@user0 easyconnect 在不使用的时候还会占用连接数,然后几天不重启就网络崩溃了
所以现在只敢在虚拟机里用
docx
    212
docx  
   2021-01-17 17:08:04 +08:00
对了,我还想吐槽一下,貌似搜狗输入法会通过注入其它程序的方式去访问注册表 /网络。

之前使用 Nod32 开启防火墙和 HIPS,总会有莫名其妙的程序(比如 Fn 功能键的管理程序、音频驱动程序)去访问 *.pinyin.sougou.com 。
后来实在受不了,把搜狗输入法拉黑断网,之后就一点奇怪事都没了……
lizy001
    213
lizy001  
   2021-01-17 17:12:35 +08:00
MS Store 的 QQ9.1.6(25368),仅仅读取了 chrome.exe 的文件位置,操作为 QueryNameInformationFile,尚未发现读取记录。
WaylanPunch
    214
WaylanPunch  
   2021-01-17 17:13:46 +08:00
你以为 Tim 和微信稍微好一点,其实是一路货色
ye10010
    215
ye10010  
   2021-01-17 17:14:20 +08:00
使用 chrome 绿色版,所有数据不放在 appdata 下,放在其他地方,应该能防一下吧...tim 不用还不行
yanqiyu
    216
yanqiyu  
   2021-01-17 17:17:45 +08:00
@dzyou2007 #212 因为程序要加载输入法模块吧...然后一些网络访问被写到输入法模块去了,很不厚道的行为
milukun
    217
milukun  
   2021-01-17 17:18:55 +08:00
@lizy001 #213 算法综合判定你的浏览信息暂时没有价值,先摸清楚路以后再说[doge]
vinsony
    218
vinsony  
   2021-01-17 17:22:51 +08:00   ❤️ 2
国产软件只配进沙盒、虚拟机
JasperHale
    219
JasperHale  
   2021-01-17 17:26:13 +08:00
@TypeError win10 沙盒就是 windos 自带 hyper-v 虚拟机 啊
laydown
    220
laydown  
   2021-01-17 17:32:57 +08:00   ❤️ 1
腾讯一直就这么流氓的呀,为什么大家好像都一副如梦初醒的样子?
maliio
    221
maliio  
   2021-01-17 17:34:41 +08:00
@janssenkm 让 qq 帮你翻翻在哪个目录
franc3567
    222
franc3567  
   2021-01-17 17:37:10 +08:00
所有国产软件(特别是输入法)最好都用虚拟机隔离运行即可。
lifetimeporn
    223
lifetimeporn  
   2021-01-17 17:42:19 +08:00
看来 360 早在十年前就知道腾讯会窃取用户隐私,那个时候只关注了 360 和 QQ 二选一,还以为是 360 无缘无故挑起的事端,没想到当时的选择却是助纣为虐了
swchzq
    224
swchzq  
   2021-01-17 17:44:28 +08:00   ❤️ 1
@snw 调用我那个脚本里的 detect 函数,比如

```
print(detect("://s.taobao.com/search?"))
```
可以看到结果是 true
aloneinfall
    225
aloneinfall  
   2021-01-17 17:45:44 +08:00
建议,sandboxie +绿色版 QQ
PS:github 上的第三方维护的 sb 已经可以在 20H2 上正常使用了
LengthMin
    226
LengthMin  
   2021-01-17 17:47:17 +08:00
@user0 #203 同... 刚导入了规则发现 深信服这个在读取
Hozoy
    227
Hozoy  
   2021-01-17 17:47:27 +08:00
不是好多年都是这样了吗?当初 360 就是因为 QQ 私自扫描用户文件才推出扣扣保镖,3Q 大战才开始的,之后腾讯只是说扫描用户文件是为了查杀环境是否安全。到现在还有很多人因为 3Q 大战去骂 360,呵呵。现在有石锤了,看哪个国产安全软件还默认去防止 QQ 的这些行为?
lifetimeporn
    228
lifetimeporn  
   2021-01-17 17:49:20 +08:00
@Hozoy #227 为什么当时 360 没给出今天帖子这样的石锤证据来,要是有今天这种证据,当时的案子腾讯没法洗的
raion
    229
raion  
   2021-01-17 17:51:51 +08:00   ❤️ 21
```
tasks = {
# URL 匹配
# (23, 0x1C6389BA, 0xF2FA5666, 0xF2A2E0D3, 0xC892E7BA): b'', # ://S.TAOBAO.COM/SEARCH?
# (34, 0xB829484C, 0x520F7CC3, 0x94EC8A73, 0xD808E79): b'', # LIST.TMALL.COM/SEARCH_PRODUCT.HTM?
(30, 0xDDA1029, 0x9E67F3BB, 0xB18ACC45, 0x597CF438): b'', #
# (21, 0x2564591C, 0x5B11347B, 0x846A0F72, 0xEF704A8): b'', # SEARCH.JD.COM/SEARCH?

# 搜索关键词匹配
# group 1
# (18, 0x8C2F8C3B, 0x9CA6DB69, 0x663C9537, 0xA0B64B58): b'', # 古着
# (7, 0x966DC59E, 0x592F2331, 0x6D2BF021, 0xA1D96C3C): b'', # VINTAGE

# group 2
# (18, 0x7FACF63C, 0xBEC2FCB0, 0xBE8836F6, 0x167CC273): b'', # 融券
# (18, 0x46B6D8D7, 0x8AA82723, 0xBE19FA24, 0x670E160C): b'', # 融资

# group 3
# (18, 0xE235F85E, 0x5C924D20, 0xA61B84AC, 0x4BC792DD): b'', # 炒股
# (18, 0x79088BEC, 0xF29CC9E8, 0xBF920D9, 0x455AE9ED): b'', # 股票
}
```

不弄了,还剩一个链接可能太过于阴间反查不到。

上报时不会把 URL 上传,只会把用户属于哪一个组上传。HTTP 上报的时候参数 skey=0x800915e

初始化这些 MD5 关键词的时候把组号填了进去,上报时只有一个整数

最后顺带一提,IE 历史记录也是读的。FindFirstUrlCacheEntryW 函数找找看。
raion
    230
raion  
   2021-01-17 17:56:33 +08:00   ❤️ 3
@snw 原文都是在 URL 里的,中文得按照 UTF-8 的 %XX%XX%XX%XX%XX%XX,然后转换成 UTF-16LE 再 MD5 。

转成宽字符串这一步,明显是为了和读 IE 历史记录的 API 拿到的宽字符串兼容。
eddie4607
    231
eddie4607  
   2021-01-17 17:56:50 +08:00 via iPhone
请问 macOS 有这个问题吗?
Hozoy
    232
Hozoy  
   2021-01-17 17:58:22 +08:00   ❤️ 1
murmur
    233
murmur  
   2021-01-17 18:09:10 +08:00
看 pcdiy,好家伙,所有浏览器的行为他都要
xxyk
    234
xxyk  
   2021-01-17 18:09:54 +08:00
@aloneinfall sandboxie+绿色版 QQ 还是会扫描啊,sandboxie 只能阻止写入不能阻止读取啊
swchzq
    235
swchzq  
   2021-01-17 18:10:26 +08:00
@raion 感谢大佬对上报流程的分析, 这么看 tx 还是有点"良心"的, 没直接上报 url, 只上报了分类结果🤣🤣🤣
murmur
    236
murmur  
   2021-01-17 18:10:31 +08:00
@xjbeta 卧槽那是不是柠檬清理只能用商店版了
interim
    237
interim  
   2021-01-17 18:15:53 +08:00
@ziseyinzi 阴阳怪气,够恶心的。现在最新结果是购物网站搜索关键字,不知道你有什么想说的?
xjbeta
    238
xjbeta  
   2021-01-17 18:17:23 +08:00
@murmur 商店版也不能保证 你给了权限的目录 他不会读取有用的资料后上传
CismonX
    239
CismonX  
   2021-01-17 18:18:35 +08:00 via iPhone
虽然我已经好几年没用 Windows 版 QQ 了,但之前还是腾讯面前裸奔了好几年,真是大 E 了
lifetimeporn
    240
lifetimeporn  
   2021-01-17 18:21:59 +08:00
@Hozoy #232 我看了你给的两个链接,里面根本没有说到扫描用户浏览器的历史记录这种恶劣行为。
terence4444
    241
terence4444  
   2021-01-17 18:29:07 +08:00 via iPhone
@lifetimeporn 浏览器历史记录也是以文件形式储存的吧
mcone
    242
mcone  
   2021-01-17 18:32:52 +08:00
怎么这只马现在也这么骚了
milukun
    243
milukun  
   2021-01-17 18:35:12 +08:00
只分析打标签也不可接受,凭什么你未经允许搜集我在其他应用里的信息?没有得到我的同意,也没有得到其他应用的同意
BigbyWolf
    244
BigbyWolf  
   2021-01-17 18:35:20 +08:00
昨天坚持淘宝购号 Sandboxie 登 QQ,焦头烂额,今天就出这档子事。
Hozoy
    245
Hozoy  
   2021-01-17 18:36:29 +08:00
@lifetimeporn 当初是扫描用户桌面和文档里面的 doc 文档等文件,这和浏览器历史数据不是同样重要吗,不都是属于个人隐私吗?即使现在这个事情爆出来,腾讯还可以以“这是腾讯安全组件的功能的一部分,为了保证用户安全进行的扫描行为”作为回应。毕竟 10 年前他们也是这样回应的。
ziseyinzi
    246
ziseyinzi  
   2021-01-17 18:40:47 +08:00
@chnyuwen 说了一个猜想不一定对,不知道你在质疑啥
lifetimeporn
    247
lifetimeporn  
   2021-01-17 18:45:07 +08:00
@Hozoy #245 你仔细看,当年腾讯没有承认自己扫描了.doc 文件,仅仅是说自己扫描了 Word.exe ,即 Word 软件的主程序的可执行文件,这和个人隐私、文档有本质区别,而今天这些证据则是真正地实锤扫描用户的隐私,而不是扫描 Chrome.exe 这个 Chrome 浏览器主程序的可执行文件。
dreamtrail
    248
dreamtrail  
   2021-01-17 18:46:32 +08:00
你每天用 qq,wx 和家人,女朋友都说了些什么话 tx 都知道,你还怕 tx 知道你看了些啥网站?
Hozoy
    249
Hozoy  
   2021-01-17 18:54:51 +08:00
@lifetimeporn http://www.6cu.com/uploads/allimg/190602/21292460X-13.jpg QQ 是遍历扫描,而不是只扫描可实行稳健,图片里面可以看到 htm 这样可读文本也进行了扫描
mythabc
    250
mythabc  
   2021-01-17 18:56:12 +08:00
犯罪收益 O(n)
犯罪成本 O(1)
lifetimeporn
    251
lifetimeporn  
   2021-01-17 19:01:03 +08:00
@Hozoy #249 嗯是的,但是你上面两个链接里面,腾讯拒不承认自己扫了这些可能涉及用户 隐私的文本文件,而只是单承认扫描了“无关紧要”的 exe 文件打幌子,我很好奇腾讯当时是怎么绕过去 shen wen 的?仅仅因为当时的律师 、法官等人是计算机 idiot 吗?还是即使不是 idiot 也能晃过去?真必胜客?
billytom
    252
billytom  
   2021-01-17 19:04:30 +08:00
@xjbeta 找到 jietu 组件了。可是 rm 的时候提示这既不是文件也不是目录,请教下如何删除?谢谢
HongJay
    253
HongJay  
   2021-01-17 19:04:55 +08:00
@dreamtrail #246 洗也洗的阴阳怪气
cnfzv
    254
cnfzv  
   2021-01-17 19:06:37 +08:00
@BigbyWolf 没用的 Sandboxie 只屏蔽修改,不屏蔽读取,本身是为了防止恶意软件损坏文件而设计的
cnfzv
    255
cnfzv  
   2021-01-17 19:09:50 +08:00
@BigbyWolf 没用 老哥 这玩意不会屏蔽读取,这个工具只会屏蔽写入,读取依然正常读取的
cnfzv
    256
cnfzv  
   2021-01-17 19:11:30 +08:00
@BigbyWolf @TypeError 没用 老哥 这玩意不会屏蔽读取,这个工具只会屏蔽写入,读取依然正常读取的
roachard
    257
roachard  
   2021-01-17 19:16:08 +08:00
不知道你们忘没忘,我可是还记得 QPCore Service 呢
ditel
    258
ditel  
   2021-01-17 19:17:28 +08:00 via Android
这个就是监测了吧。合理怀疑你的录音也被分析了,只是分析后录音文件被销毁了[dog]
vmebeh
    259
vmebeh  
   2021-01-17 19:17:47 +08:00
sandboxie 可以阻止访问文件、注册表,只读、只写都可以
L0lita
    260
L0lita  
   2021-01-17 19:18:47 +08:00
xinyana
    261
xinyana  
   2021-01-17 19:20:28 +08:00 via Android
@janssenkm 你放到哪里想不起来了,问问 qq,他应该知道,qq 可能会告诉你,你的截图被我烧了
xxyk
    262
xxyk  
   2021-01-17 19:20:51 +08:00
@vmebeh 其实我想阻止所有,允许部分,但他的默认配置是阻止列表高于允许列表,那就意味着我要一个个去写阻止的目录。
xinh
    263
xinh  
   2021-01-17 19:27:00 +08:00 via iPhone
@yanzhiling2001 我去,这个配置它都想要
BFDZ
    264
BFDZ  
   2021-01-17 19:31:36 +08:00
@janssenkm #204 上次火绒揭发腾讯管家浏览推广下载,腾讯公开发文道歉了
THP301
    265
THP301  
   2021-01-17 19:33:09 +08:00
只要不违法,怕什么被监控呢? 何况国内就不存在隐私这个说法, 大家的数据都是裸奔的,既然生活在国内就接受现实吧
seaswalker
    266
seaswalker  
   2021-01-17 19:37:21 +08:00
Mac 的 chrome 历史记录在 /Users/xxx/Library/Application Support/Google/Chrome/Default/History,直接用 sqlite 可以读出来,不知道 qq 能不能这么干
chenshaoju
    267
chenshaoju  
   2021-01-17 19:38:10 +08:00   ❤️ 5
@THP301 #265 《民法典》规定自然人享有隐私权。 隐私是指自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。 上述规定意味着除法律法规另有规定或当事人同意外,有权要求其他组织或个人不得实施侵扰私人生活安宁的行为,不得窥探私密空间、私密活动、私密信息等。
http://www.xinhuanet.com/legal/2020-11/14/c_1126738496.htm
acess
    268
acess  
   2021-01-17 19:44:36 +08:00   ❤️ 1
我记得 WPS 在本站也有人反映过类似的问题:/t/275450
“他还会监视窗口事件(父窗体为 chrome 浏览器),查看你浏览 X 宝市场 /X 里妈妈市场的标题栏(实在不知道它要干嘛,也许是为了分析用户行为)”
DearMark
    269
DearMark  
   2021-01-17 19:45:14 +08:00
我是不用 QQ 的,建议用的,举报一下
qanniu
    270
qanniu  
   2021-01-17 19:46:30 +08:00   ❤️ 5
@chenshaoju 法律不是挡箭牌
ZeroKong
    271
ZeroKong  
   2021-01-17 19:50:21 +08:00
@THP301 虽然说是这样,但要放在欧盟会不会被罚死=-= url 里带一个明文传输的账号密码就玩完,当然现在也没人放明文的=-=。
Mavious
    272
Mavious  
   2021-01-17 20:08:07 +08:00
@JBaker 常年 FFox &TIM 用户感到安心,thx
soraginko
    273
soraginko  
   2021-01-17 20:11:50 +08:00
腾讯公关部会来删帖吗?
Nazar1te
    274
Nazar1te  
   2021-01-17 20:13:00 +08:00
不懂就问,sublime text3 这也是读取我的浏览器历史吗?
![img]( https://imgur.com/uJtR3x1)
ItzhacLea
    275
ItzhacLea  
   2021-01-17 20:27:02 +08:00
@murmur 商店版本的柠檬清理也 [不一定] 安全,没记错的话打开程序时会用 NSOpenPanel 弹框让你选择 Home folder 。Catalina 及之后的文件系统有一个扩展属性叫 com.apple.macl,可以用 ls -l@ 观察到,这个扩展属性储存了一个列表,列表上的程序访问受保护文件夹时 [不会] 弹框要求用户的许可。

而 NSOpenPanel,drag and drop,用户双击文件,都会添加这个扩展属性到文件上,以防止过多的隐私保护弹窗打扰用户。

ref:

Reset access obtained through inferred user intent on Catalina: https://developer.apple.com/forums/thread/124121

Undocumented Catalina file access change: https://lapcatsoftware.com/articles/macl.html
bin456789
    276
bin456789  
   2021-01-17 20:28:01 +08:00   ❤️ 15
趁人多热闹提醒下
Chrome 保存的密码都能直接读出来,甚至不用 UAC 权限
换言之随便一个软件都有权限读取,看开发者的良心
https://www.nirsoft.net/utils/chromepass.html
滑稽的是,Chrome 查看自己保存的密码还掩耳盗铃地要输入 Windows 账户密码。
ItzhacLea
    277
ItzhacLea  
   2021-01-17 20:35:54 +08:00
@seaswalker 是的,在 Mac 上 App 还可以使用 UNIX 命令,调用个 shell 也不是难事。我看了下 ~/Library/Application\ Support/ 是没有受到系统保护的,拿一个没有 full disk access 的终端就可以测出来:

~  ls ~/Library/Application\ Support/Google
FIRApp

但是 Safari 文件夹反倒是受到保护的,毕竟是自家产品:

~  ls ~/Library/Safari
ls: Safari: Operation not permitted
wiix
    278
wiix  
   2021-01-17 20:38:16 +08:00
还好我机智,几乎所有的国产软件我只在虚拟机里运行。
acess
    279
acess  
   2021-01-17 20:38:56 +08:00
@bin456789
+1,本来就是这样,xkcd 1200
更何况 UAC (从降权管理员提升到完整管理员)其实也是可以绕的,微软都说 UAC 不是安全功能,虽然微软有时候会顺带修补封堵一部分绕过手段。
MeteorCat
    280
MeteorCat  
   2021-01-17 20:41:50 +08:00 via Android   ❤️ 1
这太吓人了,原来我浏览记录一直被 QQ 监控
Dashit
    281
Dashit  
   2021-01-17 20:42:16 +08:00   ❤️ 1
@bin456789 查看自己保存的密码还掩耳盗铃地要输入账户密码

Safari/edge 都是这样。输入密码的时候浏览器弹出记住密码,勾选同意后都会保存起来,用户在浏览器设置中可以输入开机密码后查看保存的密码。

随便一个软件都有权限读取 Chrome 密码这个就不清楚了。
BigbyWolf
    282
BigbyWolf  
   2021-01-17 20:42:38 +08:00   ❤️ 2
@cnfzv Sandxie Plus 默认配置是阻止对常见应用程序数据的访问。
应用程序模板默认配置下所有浏览器(chromium 系、Firefox 及衍生、新旧 Edge 以及我都没见过的浏览器)的同步设定、偏好设定、密码、Cookie 、书签和历史记录数据都是未勾选的,WebBrower 类目中只有 Google Chrome/Firefox 的防钓鱼数据库是允许访问的。
资源访问 选项可以配置阻止对文件资源的访问。
acess
    283
acess  
   2021-01-17 20:44:39 +08:00
@bin456789
不过……这也不完全是掩耳盗铃吧,本地的密码数据我记得确实是加密了,如果没有登录 windows 账户,那就是密文。
acess
    284
acess  
   2021-01-17 20:47:39 +08:00
@Dashit 是的,控制面板里的的“凭据”我记得就是 IE 里保存的密码……其实只要 Windows 账户登录了,就解密了。查看明文密码时要求输入 Windows 登录密码,这个本质上是防君子不防小人的。
bin456789
    285
bin456789  
   2021-01-17 20:50:29 +08:00
@acess ChromePass 直接就能看了,而 Chrome 还要输入账户密码,这不是掩耳盗铃么?
acess
    286
acess  
   2021-01-17 20:53:49 +08:00   ❤️ 1
@bin456789 chromepass 也是需要先登录 windows 账户进桌面的吧。
In order to use this feature, you must know the last logged-on password used for this profile, because the passwords are encrypted with the SHA hash of the log-on password, and without that hash, the passwords cannot be decrypted.
acess
    287
acess  
   2021-01-17 20:55:32 +08:00
@bin456789 只有先登录那个 Windows 账户进了桌面,chromepass 才可以直接看到这个账户下的明文密码。
如果要看其他账户的密码,或者看离线系统(比如双系统、USB 易驱线挂上其他机器硬盘里的系统)上的密码,那就需要输入其他账户的密码。
flexbug
    288
flexbug  
   2021-01-17 20:56:11 +08:00
@Mavious 老哥,TIM 也读啊,看帖有人复现了
phpc
    289
phpc  
   2021-01-17 20:57:21 +08:00
@bin456789 #276 啊这,那 firefox 的密码安全吗
BigbyWolf
    290
BigbyWolf  
   2021-01-17 20:58:41 +08:00   ❤️ 3
@xxyk @TypeError
Sandboxie Plus 默认配置是阻止对常见应用程序数据的访问。
应用程序模板默认配置下所有浏览器(chromium 系、Firefox 及衍生、新旧 Edge 以及我都没见过的浏览器)的同步设定、偏好设定、密码、Cookie 、书签和历史记录数据都是未勾选的,WebBrower 类目中只有 Google Chrome/Firefox 的防钓鱼数据库是允许访问的。


资源访问 选项可以配置阻止对文件资源的访问,包括读取、修改。

还可以限制程序只得在 Sandboxie 中运行。

可以参考卡饭的这篇 2018 年针对原版 Sandboxie 的老帖,或者右键点击沙盒实例条目打开选项卡,选择沙盒选项(非全局选项)查看 https://bbs.kafan.cn/thread-2121301-1-1.html

---
以为我又在认知浅薄的状态下唐突发言误导别人了,还修改不了回复 /添加不了附言,老哥真给我吓心脏一停,就放后边待有缘人翻到吧。
acess
    291
acess  
   2021-01-17 20:59:28 +08:00   ❤️ 1
@bin456789 你说掩耳盗铃是有一定道理的,因为实际上不需要第二次重复输入 Windows 登录密码,只要现在已经是已经登录 Windows 账户、进到桌面的状态,浏览器记住的密码就已经是可以解密到明文的状态了。

其实不用 chromepass 也能看,打开被记住密码的网站,F12 改一下密码框的 HTML 属性就行。
bin456789
    292
bin456789  
   2021-01-17 20:59:36 +08:00
@acess 用 Chrome 的时候也是登录了啊。
况且,另一个软件可以轻松获取浏览器保存的密码,这本来就不合理,任何解释都是徒劳的。
nikolai
    293
nikolai  
   2021-01-17 21:03:57 +08:00
@seaswalker 明显可以,参考各种 Chromium 系浏览器直接从 Chrome 迁移数据什么的
xiaozaiziwyt
    294
xiaozaiziwyt  
   2021-01-17 21:06:46 +08:00
qqprotect 也是个流氓程序,不知道会扫描些什么文件。记得以前因为 protect 更新,好像也闹过一次(是因为会接管浏览器注册成企业的,有后台还是什么)
acess
    295
acess  
   2021-01-17 21:10:11 +08:00
@bin456789
其实在桌面系统上,“这个软件”和“另一个软件”之间本来就没有什么明确的、不可逾越的界限吧。一直以来就是这样。
我觉得这并不完全是坏事。移动操作系统可能设计之初就考虑了这个问题,没有那么多历史包袱,但就像 Android,magisk 的开发者不也吐槽么,整个系统 highly lockdown 了,用户没有自由了,对设备没有真正的、完全的控制权。
bin456789
    296
bin456789  
   2021-01-17 21:10:45 +08:00
@acess 性质不同了,一个是我自己打开 Chrome 按 F12 自己看的,起码我是知道这个操作的。
另一个是第三方软件直接读 /偷密码。安全性取决于开发者的良心。
当然第三方也可以使用骚操作,后台打开 Chome,模拟按下 F12,再读屏幕拿到密码。
不过也不能因为一部分漏洞而完全放弃治疗。
Sevastian
    297
Sevastian  
   2021-01-17 21:18:03 +08:00
我现在在用的是 2.2.5 TIM,签名 2018 年 6 月,有大佬试试吗。。
链接: https://pan.baidu.com/s/1I8NoaWYewdjLwhf_WTCX4w 提取码: d35x
microka
    298
microka  
   2021-01-17 21:21:33 +08:00
求个作业抄下 [doge]
yanqiyu
    299
yanqiyu  
   2021-01-17 21:22:29 +08:00 via Android   ❤️ 1
@bin456789 不是掩耳盗铃,首先你登陆 Windows (或者在 Linux 桌面解锁密钥环)之后加密存储库的密码就被解密,存储库也就对于任意程序可读。

这些密码必然不能以某种非对称方式保存,因为你要填充用明文。在没有使用特殊的操作系统提供专门的密钥保护机制的前提下 chrome 不可能有独享的存储空间,它自己能读到的密码任意程序自然能读到。

至于查看密码需要验证凭据,这也很正常,一方面能防小白(这个验证凭据正是因为用户的呼声加上的),也要求拿走密码步骤变长,另外需要额外安全性的用户可以在此基础上配置可执行文件策略等保护密码不被拿到。

所有浏览器都跑不掉这个设计,真的要解决这个问题还是 FIDO 这样的机制...干脆放弃记住密码算了
Dashit
    300
Dashit  
   2021-01-17 21:25:11 +08:00
@bin456789

Chrome 可以查看密码的问题可以看下之前的讨论。

https://www.v2ex.com/t/302006
https://www.v2ex.com/t/337364
1  2  3  4  5  6  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3596 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 31ms · UTC 11:00 · PVG 19:00 · LAX 03:00 · JFK 06:00
Developed with CodeLauncher
♥ Do have faith in what you're doing.