为什么导入浏览器的敏感数据不需要密码？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 1244 天前的主题，其中的信息可能已经有所发展或是发生改变。

各大浏览器如果要导入其他浏览器的数据的话，特别是保存的登录信息，都不需要密码就能直接导入，这是怎么做到的？各大浏览器的登录密码数据难道可以随意访问么？为什么在浏览器内查看自己保存的登录信息却又要输入密码？

浏览器

密码

导入

19 条回复 • 2021-06-28 21:15:47 +08:00

MakeItGreat

2021-06-26 16:34:09 +08:00 via Android

你从其他浏览器导出的时候应该提醒你安全性了
密码文件就是个 CSV,直接就能打开

MakeItGreat

2021-06-26 16:34:57 +08:00 via Android

@MakeItGreat 看错了
应该是导入的 Cookie,这个确实可以访问

viewer003

2021-06-26 16:43:30 +08:00

刚刚试了下在 safari 里倒入 chrome 的书签和密码，需要输入密码啊。。

Yadomin

2021-06-26 16:51:05 +08:00

按说都是 Chromium 浏览器直接复制那个 Login Data 就可以了

这里还有一个不用密码解密的 https://github.com/moonD4rk/HackBrowserData

ziseyinzi

2021-06-26 16:51:30 +08:00

就是明文保存的，以前自己看也不需要密码，后来加了个密码骗骗你让你以为加密了

Yadomin

2021-06-26 17:01:16 +08:00

@ziseyinzi
https://github.com/chromium/chromium/blob/d7da0240cae77824d1eda25745c4022757499131/components/password_manager/core/browser/login_database.cc#L1149

https://github.com/chromium/chromium/blob/d7da0240cae77824d1eda25745c4022757499131/components/password_manager/core/browser/login_database_win.cc#L12

Lemeng

2021-06-26 17:05:13 +08:00

保存原位置就不需要密码可查看。导入不需密码，好像也没太大问题

DrakeXiang

2021-06-26 17:30:04 +08:00

至少在以前，浏览器保存的密码是明文保存的，以前有的浏览器会让你选择是否设置一个主密码，这样每次需要使用已经保存过的密码就要输入主密码，这样的话是加密保存的，但是每次都输个密码太麻烦，所以一般没人会这么干

leido

2021-06-26 17:50:27 +08:00

用火绒保护浏览器目录是基本操作.

比如 Chrome, 添加 C:\Users\{Username}\AppData\Local\Google\Chrome\*

passerbytiny

2021-06-26 19:31:59 +08:00 via Android

你说得这些，数据都是在你自己电脑上转移，不经过互联网。这在通用安全体系里面并不属于敏感数据，弄个 4 位数字的 pin 码保护一下就超级安全了。

以前的安全体系更多的是考虑传输过程的安全，本地数据基本都不管的。本地数据，或者说隐私数据，加入到安全体系，是这几年才有的事。

sephinh

2021-06-26 19:39:35 +08:00 via iPhone

Chrome 的账户资料是通过系统登录账号验证安全的，在你登录的状态就是明文了

kebamt

2021-06-27 02:49:38 +08:00 via iPhone

@Yadomin IE & Safari 获胜！

kebamt

2021-06-27 03:01:43 +08:00 via iPhone

这个安全问题确实得考虑，如果电脑中病毒上传给攻击者就完蛋了。（我前不久就这样遭攻击了，现在还在不断攻击我，逼我好多网站使用强密码+2FA+安全软件）

ho121

2021-06-27 09:46:13 +08:00 via Android

@passerbytiny 不排除有其它软件偷取

evilStart

2021-06-27 12:11:16 +08:00

@MakeItGreat 不是导入的 cookie，是密码。
@sephinh 和 crhome 账户无关。我的意思是本地安装一个新的浏览器，比如 chorme 或者 firefox，导入本地其他浏览器（比如 firefox 或者 edge ）保存的密码数据都不需要认证，可以直接导入。这不就说明所有浏览器保存的密码都可以被任意读取吗？

evilStart

2021-06-27 12:19:10 +08:00

@passerbytiny 本地数据也是有不同的安全等级的。你的安全体系那是生活在虚空的安全体系吗？操作系统的登录密码就是加密保存的，依照你的安全体系也不用这么麻烦，反正都的本地麻。

no1xsyzy

2021-06-27 20:19:05 +08:00

@evilStart #11 说的不是 Chrome 账户，而是 Windows 账户密钥体系 / Mac OS 钥匙串 / Linux 下似乎是 keyring （基于 PAM ？）（仅作解释，我对此也存疑）
我所知范围内 python-poetry 里保存 PyPI 的登录信息或者 Token 是会塞到这个东西里面去的。随着 Windows 账户 / Mac OS 账户登录解密。可以看下 poetry 的代码，但我不记得是哪块了。

我记得的说法是只有 Firefox 的主密码才是真正意义上的加密，其他都是给你装样子的。
一般安全设计中本地默认全都是安全的，已经能执行代码了那加密很大程度上就是白看的，就算搞个 2147483648 位的强加密，给你来个钓鱼窗口不就全解了？
如果你需要运行一些你不信任的软件，你需要手动隔离环境运行。

liuidetmks

2021-06-28 10:49:48 +08:00

@DrakeXiang 为什么不用用户的登录密码来生成一个加密密码呢？

DrakeXiang

2021-06-28 21:15:47 +08:00

@liuidetmks 用什么密码不是关键，关键是我记得之前如果开启了主密码的话很多操作都需要输密码才能完成，比如收藏网站啥的，反正特别不方便，现在好像没见这种设置了，应该都是把这些东西交给第三方扩展了吧