慎用密码管理软件的自动填充功能

2018-01-02 12:29:28 +08:00
 webfrogs

今天看到这个消息,说是广告商正在通过使用不可见的 form 来捕捉密码管理工具自动填充的数据。

本人还是挺依赖这个功能的,看来以后还是不要再用了。

6478 次点击
所在节点    软件
22 条回复
wtbhk
2018-01-02 12:37:14 +08:00
密码填充软件首先判断域名的啊
lxy42
2018-01-02 12:48:17 +08:00
@wtbhk 网站嵌入的广告商的 JS 可以创建 form
Lothar
2018-01-02 12:49:51 +08:00
细想似乎真有可行性..
xenme
2018-01-02 12:50:52 +08:00
1. block 了各种广告以及追踪的请求和域名
2. 1password,手动 fill
3. 每家都是独立的,发现一家干掉一家就好了,没什么大不了的。
hugee
2018-01-02 12:53:06 +08:00
一直对自动忌惮
tony1016
2018-01-02 13:06:29 +08:00
用户名可以抓,密码怎么抓呢??
coolcoffee
2018-01-02 13:11:23 +08:00
这个在 lastpass 上出现过一次可以伪造域名导致扩展自动填充的, 但重要账户都是有二次验证了, 密码库被爆了也没太大关系
ligyxy
2018-01-02 13:12:03 +08:00
https://github.com/anttiviljami/browser-autofill-phishing
700388
2018-01-02 15:00:54 +08:00
没什么用的,自动填充,会判断网站才显示出来。网站不对,自动填充根本就不显示。随便伪造的网站,那倒是可以捕获密码,但是,随便网站密码的价值不大的话,密码也毫无用。
只要每个账户,密码不同,就算他拿到密码,也是个低权密码。
lance6716276
2018-01-02 15:10:11 +08:00
我记得是 chrome 对 https 页面不会自动填充,需要手动用鼠标选那个候选项。http 页面会自动填充,但是 http 问题多的是呢,不差自动填充这一点
Quaintjade
2018-01-02 15:28:20 +08:00
很早就在担心这种问题,终于有人这么做了。
freewarcraft
2018-01-02 16:54:06 +08:00
在 edge 上用 1password,电脑从休眠中恢复后 1p 插件都无法启动,根本不担心自动填充的问题。。。
AEANWspPmj3FUhDc
2018-01-02 17:14:07 +08:00
keepass 的自动填充就完全没有这种顾虑,推荐一下
alexyangjie
2018-01-02 17:26:48 +08:00
这个四年多前就有人讨论过。当时写了一个 demo page, 刚才用 lastpass 最新版测试,依然中招。只要打开 auto fill 就会被脚本劫持。https://www.alexyang.me/demo/
Xrong
2018-01-02 17:48:07 +08:00
@alexyangjie 1Password 测试中招
peesefoo
2018-01-02 19:12:19 +08:00
待会测试一下 enpass
tghgffdgd
2018-01-02 19:29:21 +08:00
@alexyangjie
@Xrong
但是你这个是同一个域名啊,不同域名的话还能成功那确实问题大
yongyuhi
2018-01-02 19:31:02 +08:00
最大的广告商就是谷歌啊
paradoxs
2018-01-02 19:32:24 +08:00
@alexyangjie 这个是同域名的,不算是中招了吧?
alexyangjie
2018-01-02 20:10:14 +08:00
@tghgffdgd #17 所以广告商的危害很大,因为广告商就是跨域的。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/419345

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX