关于浏览器记住密码后,把 input 的 type 改成 text 可以查看密码的这个事情.

确实不大安全

不太安全，所以重要的网站不会用记住密码

这有什么不安全？只要保存了密码就必然是要读取并且发给服务器的，这里不显示还可以抓包啊，还可以分析数据文件啊。
浏览器需要对这种安全负责么？这不是和电脑上其他文件一样是你应该做的事情么？

嗯。开机密码很重要啊。：）

一切放在前端的东西都没啥安全性。。。。。
因为本地就可以改呀。。。。

你的电脑都被别人物理接触了

还跟我提安全？

浏览器记住密码是明文方式记住的。
你能看到浏览器所有记住的密码明文。
chrome进入设置》密码和表单

@acthtml 有加密手段的，不过不知道加密算法是否安全，我把所有数据加密了

ChromePass
http://www.nirsoft.net/utils/chromepass.html

所有保存的密码，无需登录密码，连管理员权限都不要，直接看光光。

看dev tools 里的 HTTP 请求，能把你全都看光。

1password和lastpass欢迎你

浏览器自带的密码保存功能从来都不用来记录Gmail等重要重要密码。。。基本都只记录一些小网站的

记住密码也只是本地而已，电脑别给别人碰好了

你在前端输入完密码，F12，把 input 的 type 由 password 改成 text，看到明文，这样有什么不安全的？都是你输入的，你的意思是你刚输入完就要通过ajax自动完成加密？
如果你 submit 之后密码框的 type 还能由 password 改成 text 看到明文，这叫不安全。

这问题就像之前有人说登陆了Lastpass后查看本地的密码，也是通过改类型可以看到明文……这不是不安全。
就像Chrome认为记住密码并且可以明文看到并没有不安全，前提是你的电脑是安全的。

@vmebeh 如果需要密码的话每次自动完成就都需要密码了。。。那你就要说烦死了。。。

话说，我比较好奇，为啥这么多人纠结浏览器保存密码这件事。。。如果我能物理接触你的电脑，我直接把你硬盘拔了，你设啥密码都没用。。。

Firefox 可以设置主密钥，没有密钥是不能解密保存的密码、证书私钥等内容。
至于不设置主密钥的，就算浏览器不给显示也可以直接去硬盘里面读出来啊。浏览器不显示只能提供虚假的安全感，反而不安全。

@can 同意

@vmebeh 如果你系统是多账号的，只要把当前登录账号注销，切换其他账号登录，用此软件是看不到注销账号的 chrome 密码的。

所以一定要设置开机密码啊 手机也是一样

以前见到有些网站，进去修改密码页面，当前密码就是星标显示的，自己能通过这个方法查看到别人的密码（其他电脑），以为自己很牛。

现在发现，就是那个网站明文保存密码了…

@Citrus 问题是任何没底线的程序都能读到保存的密码
@takwai 嗯，用到了系统内置的权限控制/加密，但是如上

一直以为 Chrome 是用登录账户来加密保存的，前几天才看到有这个情况直接换上了 1Password。

@vmebeh 事实上，只有当前账户和系统管理员才能读取，并不是任何人都能读取。

离开电脑不锁屏都是耍流氓。

根本不用这么麻烦，如果chrome又是记住密码，直接点击设置里面－>高级设置->密码和表单－>管理密码
就能看到明文密码，什么网站都有

@Citrus 以当前账号运行的 任何程序 都能读到，而不仅仅是 Chrome。

@vmebeh
@lululau
@jkjoke
https://technet.microsoft.com/en-us/library/hh278941.aspx

Ten Immutable Laws Of Security
参见这两条：1. If a bad guy can persuade you to run his program on your computer, it's not solely your computer anymore.
2. If a bad guy has unrestricted physical access to your computer, it's not your computer anymore.
所以安不安全是个伪命题，因为在帖子假设条件下你的电脑本身就是不安全的。

@vmebeh 原生chrome才能用。

@vmebeh 当然！你见过哪个系统的权限控制是基于程序的？

@Mutoo +1

怎么解决这么问题呢？求助