我前阵子开始用起了密码管理器,装了 bitwarden 的浏览器插件,然后发现这个插件居然可以拦截并读取我送出的密码。
这对一个密码管理器来说没问题,但 chrome 好像没有明确的告诉我这插件有读取密码的权限吧,要是有别的不应该读取到密码的插件,也获取了读取我输入的密码的权限,不是很糟糕吗?接着我就去看了下浏览器插件的权限管理...
“允许这个扩充功能读取及变更你在造访过的网站留下的所有资料”
这个权限的意思也十分直白。。。就是读取和变更所有资料,包括密码。。。
但又有多少人会去装插件前去读它们要求的权限呢?“读取网站留下的所有资料”又是否能让用户直接意识到,密码也是“所有资料”的一部分
另外要求这个权限的插件真的很多。。。不只是密码管理器,我常用的检查语法的 grammarly, 获取折价卷的 honey 和 captial one shopping, 找字体用的 font ninja 等等,虽然我可以想象到他们获取这个权限的理由,但这个权限就和读取密码绑在了一起。
难道我们真的到要去一个一个读扩充功能源代码以保证它们没有偷我们的密码吗?有什么保障密码安全的方式呢?各位又是怎么处理的?
chrome 商店会有人检查插件的安全性吗(就现在 chrome 商店的鬼样子,我十分怀疑。。。),chrome 插件有近 137000 个,怎么可能审查的完?如果开发者做了混淆呢?另外那些因为无法连上 chrome 商店而侧载插件的人怎么办?
其实某种程度上,我也可以理解为何难以将像是读取密码这类的权限剥离,毕竟能往页面上插 JavaScript 就已经足够危险了。。而这正是我们用插件的理由
我感觉 Chrome 团队对这方面的安全好像很摆烂... 从把密码存在本地,密钥放旁边的操作就有这种感觉了。。就是一种 “既然用户都这么做了,那黑客总有办法拿到他们的密码,那我就不设防了”的样子。。
而现实是,windows 上不提权寸步难行,软件都装不了,而装插件前认真阅读权限说明,并深刻了解其意义的用户有多少呢?
1
jiyan5 2023-01-29 14:15:29 +08:00
firefox 上的扩展,有这样的权限吗?
|
2
ccxuy 2023-01-29 16:16:37 +08:00
只要有给你网页注入的权限,就能做当前网页所有事情,包括获取当前网页你输入的密码。这个是设计问题,只要 js 获取下这个密码框元素就能提取密码。目前没啥好办法。
|
3
runze 2023-01-29 16:39:45 +08:00
没办法,只能自己小心、别乱装插件。
一个扩展只要能读写网页数据就一定能读取当前页面的密码 |
4
DOLLOR 2023-01-29 17:00:15 +08:00
自从学会浏览器插件开发后,能自己解决的事情都自己写插件解决了。
|
5
nksky 2023-01-29 22:42:35 +08:00
Chrome 一直在摆烂,原来他自己的密码管理一直是明文存储,这几个月才改成能手动设置加密
|