Stack Overflow 明文密码？

@throns
还有这种操作，浏览器保存的不应该是前端表单的输入吗

@throns 可以手动 edit，需 flags 里开启

这个很正常啊。你和服务器之间的传输是安全的。服务器会加密好你的密码的。

服务器端保护、链路保护上面各位大佬都说过了。
但是，客户端直接能显示密码明文真的没问题吗？
如果你暂时离开座位，其他同事过来按 F12 怎么办?为什么各种密码输入框都要设计为输入时统一显示成黑点，而且不准从密码框拷贝，这不就是认为客户端的密码明文也不能被随意访问吗。

@shyrock 设备都被控制了，加密和不加密也没什么区别了。
暂时离开座位正确做法是锁屏，这是使用者的问题，真不是需要加密来解决

@shyrock 真的有问题吗. 都物理接管你电脑了,还谈屁安全

人才是安全环节最脆弱的一环

@shyrock #24 我就是想表达你这个意思

@shyrock 设备都被攻破了还谈什么安全，那别人还可以在我不在的时候在我电脑上面种病毒呢，那是不是键盘也该加个密啊？

@Kilerd

抱歉没学过 😅见笑了, 我本来的想法比较中二, 注册的时候前端 md5, 然后登录的时候不用 md5. 这么一说才想起来能在注册的时候看到那在登录的时候也能看到, 哈哈哈, 见笑了见笑了

@shyrock chrome，打开设置 -> 高级 -> 密码和表单 -> 管理密码，你可以看到所有你在网页上保存过得密码，而且是明文哦。。这个还不需要知道一丁点儿前端调试的知识。

不只是 chrome，目前浏览器如 firefox 也是这样的。。其他的因为不怎么用，没试验过。

这么设计的理由和上面解释的一样：别人都物理接触到你的机器了，在怎样的防护都没有什么用。

@seancheer 要查看，似乎还得输入你 Google 账户的密码，不过，有软件可以直接看，我同学前几天用了，说真牛逼。

从安全角度来说, 用户原始密码最好不要给到服务器, 风险较大.

@jedrek @qinxi @misaka19000 @seancheer 以苹果手机为例，就算别人指纹解锁后把手机拿给你用，你也无从知道密码。从而保证你不能在锁屏后重新解锁，更不可能用这个密码去尝试其他网站。这显然是一个更安全的做法。

@shyrock #33 每次要加盐、nonce、签名

恭喜你重新发明 HTTPS

哈哈哈哈,菜鸡

@shyrock
如果你能解锁苹果手机，你就能看到系统保存的一系列网站明文密码。如果你能解锁 Windows，你也能看到 chrome 里的密码。在查看密码前要求你再次输入解锁设备的信息。

你解锁完手机给别人玩，和你输入电脑密码后给别人玩，两者的逻辑是一样的。

你前端散列了也没法阻止重放啊。这种情况下密码发过去后端搞起来方便点

这个话题本站论战过数回了

@seancheer #30
浏览器不是直接把密码存在硬盘上的，而是存在系统的“钥匙串”中的（例如 Linux gnome 下这个功能由 gnome-keyring 实现，kde 下由 KDE Wallet 实现）系统钥匙串由用户密码加密，所以即使物理接触，别人没有你的用户密码也没辙的。

@shyrock
不想让人窥视密码，你离开前应该锁屏，这跟你用手机的逻辑是一样的。