看到有个同事用火狐,可以直接显示记住的密码,然后在吐槽,
另外一个同事说chrome直接改input的type就可以了,
才知道有这个方法,
感觉火星了.
这样会不会不安全...
1
lululau 2015-06-10 15:38:09 +08:00
确实不大安全
|
2
jkjoke 2015-06-10 15:41:25 +08:00
不太安全,所以重要的网站不会用记住密码
|
3
publicID001 2015-06-10 15:42:49 +08:00 via Android 1
这有什么不安全?只要保存了密码就必然是要读取并且发给服务器的,这里不显示还可以抓包啊,还可以分析数据文件啊。
浏览器需要对这种安全负责么?这不是和电脑上其他文件一样是你应该做的事情么? |
4
openroc 2015-06-10 15:44:14 +08:00
嗯。开机密码很重要啊。:)
|
5
fwings260 2015-06-10 15:45:50 +08:00
一切放在前端的东西都没啥安全性。。。。。
因为本地就可以改呀。。。。 |
6
lyragosa 2015-06-10 15:46:47 +08:00 3
你的电脑都被别人物理接触了
还跟我提安全? |
7
acthtml 2015-06-10 15:50:57 +08:00
浏览器记住密码是明文方式记住的。
你能看到浏览器所有记住的密码明文。 chrome进入设置》密码和表单 |
9
vmebeh 2015-06-10 15:57:40 +08:00
|
10
FrankFang128 2015-06-10 16:19:09 +08:00 via Android
看dev tools 里的 HTTP 请求,能把你全都看光。
|
11
ZHenJ 2015-06-10 16:21:51 +08:00
1password和lastpass欢迎你
|
12
orvice 2015-06-10 16:22:29 +08:00
浏览器自带的密码保存功能从来都不用来记录Gmail等重要重要密码。。。基本都只记录一些小网站的
|
13
learnshare 2015-06-10 16:22:36 +08:00
记住密码也只是本地而已,电脑别给别人碰好了
|
14
can 2015-06-10 16:43:47 +08:00
你在前端输入完密码,F12,把 input 的 type 由 password 改成 text,看到明文,这样有什么不安全的?都是你输入的,你的意思是你刚输入完就要通过ajax自动完成加密?
如果你 submit 之后密码框的 type 还能由 password 改成 text 看到明文,这叫不安全。 这问题就像之前有人说登陆了Lastpass后查看本地的密码,也是通过改类型可以看到明文……这不是不安全。 就像Chrome认为记住密码并且可以明文看到并没有不安全,前提是你的电脑是安全的。 |
15
Citrus 2015-06-10 16:49:21 +08:00 via iPhone
@vmebeh 如果需要密码的话每次自动完成就都需要密码了。。。那你就要说烦死了。。。
话说,我比较好奇,为啥这么多人纠结浏览器保存密码这件事。。。如果我能物理接触你的电脑,我直接把你硬盘拔了,你设啥密码都没用。。。 |
16
billlee 2015-06-10 16:56:51 +08:00
Firefox 可以设置主密钥,没有密钥是不能解密保存的密码、证书私钥等内容。
至于不设置主密钥的,就算浏览器不给显示也可以直接去硬盘里面读出来啊。浏览器不显示只能提供虚假的安全感,反而不安全。 |
18
takwai 2015-06-10 17:51:18 +08:00
@vmebeh 如果你系统是多账号的,只要把当前登录账号注销,切换其他账号登录,用此软件是看不到注销账号的 chrome 密码的。
|
19
ivanchou 2015-06-10 18:00:28 +08:00 via Android
所以一定要设置开机密码啊 手机也是一样
|
20
loading 2015-06-10 18:07:44 +08:00 via Android
以前见到有些网站,进去修改密码页面,当前密码就是星标显示的,自己能通过这个方法查看到别人的密码(其他电脑),以为自己很牛。
现在发现,就是那个网站明文保存密码了… |
21
vmebeh 2015-06-10 19:24:13 +08:00
|
23
Mutoo 2015-06-10 19:44:15 +08:00
离开电脑不锁屏都是耍流氓。
|
24
cbais7890 2015-06-10 19:48:11 +08:00
根本不用这么麻烦,如果chrome又是记住密码,直接点击设置里面->高级设置->密码和表单->管理密码
就能看到明文密码,什么网站都有 |
26
processzzp 2015-06-10 20:57:56 +08:00 via Android
@vmebeh
@lululau @jkjoke https://technet.microsoft.com/en-us/library/hh278941.aspx Ten Immutable Laws Of Security 参见这两条:1. If a bad guy can persuade you to run his program on your computer, it's not solely your computer anymore. 2. If a bad guy has unrestricted physical access to your computer, it's not your computer anymore. 所以安不安全是个伪命题,因为在帖子假设条件下你的电脑本身就是不安全的。 |
30
zhouxingchi4 2019-11-06 14:46:13 +08:00
怎么解决这么问题呢?求助
|