V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
evilStart
V2EX  ›  浏览器

为什么导入浏览器的敏感数据不需要密码?

  •  
  •   evilStart · 2021-06-26 16:28:47 +08:00 via Android · 3825 次点击
    这是一个创建于 1233 天前的主题,其中的信息可能已经有所发展或是发生改变。
    各大浏览器如果要导入其他浏览器的数据的话,特别是保存的登录信息,都不需要密码就能直接导入,这是怎么做到的?各大浏览器的登录密码数据难道可以随意访问么?为什么在浏览器内查看自己保存的登录信息却又要输入密码?
    19 条回复    2021-06-28 21:15:47 +08:00
    MakeItGreat
        1
    MakeItGreat  
       2021-06-26 16:34:09 +08:00 via Android
    你从其他浏览器导出的时候应该提醒你安全性了
    密码文件就是个 CSV,直接就能打开
    MakeItGreat
        2
    MakeItGreat  
       2021-06-26 16:34:57 +08:00 via Android
    @MakeItGreat 看错了
    应该是导入的 Cookie,这个确实可以访问
    viewer003
        3
    viewer003  
       2021-06-26 16:43:30 +08:00
    刚刚试了下 在 safari 里倒入 chrome 的书签和密码,需要输入密码啊。。
    Yadomin
        4
    Yadomin  
       2021-06-26 16:51:05 +08:00
    按说都是 Chromium 浏览器直接复制那个 Login Data 就可以了

    这里还有一个不用密码解密的 https://github.com/moonD4rk/HackBrowserData
    ziseyinzi
        5
    ziseyinzi  
       2021-06-26 16:51:30 +08:00
    就是明文保存的,以前自己看也不需要密码,后来加了个密码骗骗你让你以为加密了
    Lemeng
        7
    Lemeng  
       2021-06-26 17:05:13 +08:00
    保存原位置就不需要密码可查看。导入不需密码,好像也没太大问题
    DrakeXiang
        8
    DrakeXiang  
       2021-06-26 17:30:04 +08:00
    至少在以前,浏览器保存的密码是明文保存的,以前有的浏览器会让你选择是否设置一个主密码,这样每次需要使用已经保存过的密码就要输入主密码,这样的话是加密保存的,但是每次都输个密码太麻烦,所以一般没人会这么干
    leido
        9
    leido  
       2021-06-26 17:50:27 +08:00
    用火绒保护浏览器目录是基本操作.

    比如 Chrome, 添加 C:\Users\{Username}\AppData\Local\Google\Chrome\*
    passerbytiny
        10
    passerbytiny  
       2021-06-26 19:31:59 +08:00 via Android
    你说得这些,数据都是在你自己电脑上转移,不经过互联网。这在通用安全体系里面并不属于敏感数据,弄个 4 位数字的 pin 码保护一下就超级安全了。

    以前的安全体系更多的是考虑传输过程的安全,本地数据基本都不管的。本地数据,或者说隐私数据,加入到安全体系,是这几年才有的事。
    sephinh
        11
    sephinh  
       2021-06-26 19:39:35 +08:00 via iPhone
    Chrome 的账户资料是通过系统登录账号验证安全的,在你登录的状态就是明文了
    kebamt
        12
    kebamt  
       2021-06-27 02:49:38 +08:00 via iPhone
    @Yadomin IE & Safari 获胜!
    kebamt
        13
    kebamt  
       2021-06-27 03:01:43 +08:00 via iPhone
    这个安全问题确实得考虑,如果电脑中病毒上传给攻击者就完蛋了。(我前不久就这样遭攻击了,现在还在不断攻击我,逼我好多网站使用强密码+2FA+安全软件)
    ho121
        14
    ho121  
       2021-06-27 09:46:13 +08:00 via Android
    @passerbytiny 不排除有其它软件偷取
    evilStart
        15
    evilStart  
    OP
       2021-06-27 12:11:16 +08:00
    @MakeItGreat 不是导入的 cookie,是密码。
    @sephinh 和 crhome 账户无关。我的意思是 本地安装一个新的浏览器,比如 chorme 或者 firefox,导入本地其他浏览器(比如 firefox 或者 edge )保存的密码数据都不需要认证,可以直接导入。这不就说明所有浏览器保存的密码都可以被任意读取吗?
    evilStart
        16
    evilStart  
    OP
       2021-06-27 12:19:10 +08:00
    @passerbytiny 本地数据也是有不同的安全等级的。你的安全体系那是生活在虚空的安全体系吗?操作系统的登录密码就是加密保存的,依照你的安全体系也不用这么麻烦,反正都的本地麻。
    no1xsyzy
        17
    no1xsyzy  
       2021-06-27 20:19:05 +08:00
    @evilStart #11 说的不是 Chrome 账户,而是 Windows 账户密钥体系 / Mac OS 钥匙串 / Linux 下似乎是 keyring (基于 PAM ?)(仅作解释,我对此也存疑)
    我所知范围内 python-poetry 里保存 PyPI 的登录信息或者 Token 是会塞到这个东西里面去的。随着 Windows 账户 / Mac OS 账户登录解密。可以看下 poetry 的代码,但我不记得是哪块了。

    我记得的说法是只有 Firefox 的主密码才是真正意义上的加密,其他都是给你装样子的。
    一般安全设计中本地默认全都是安全的,已经能执行代码了那加密很大程度上就是白看的,就算搞个 2147483648 位的强加密,给你来个钓鱼窗口不就全解了?
    如果你需要运行一些你不信任的软件,你需要手动隔离环境运行。
    liuidetmks
        18
    liuidetmks  
       2021-06-28 10:49:48 +08:00
    @DrakeXiang 为什么不用用户的登录密码来生成一个 加密密码呢?
    DrakeXiang
        19
    DrakeXiang  
       2021-06-28 21:15:47 +08:00
    @liuidetmks 用什么密码不是关键,关键是我记得之前如果开启了主密码的话很多操作都需要输密码才能完成,比如收藏网站啥的,反正特别不方便,现在好像没见这种设置了,应该都是把这些东西交给第三方扩展了吧
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2624 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 19ms · UTC 10:38 · PVG 18:38 · LAX 02:38 · JFK 05:38
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.