关于浏览器记住密码后,把 input 的 type 改成 text 可以查看密码的这个事情.

cornelia · 2015-06-10T07:32:28Z

看到有个同事用火狐,可以直接显示记住的密码,然后在吐槽, 另外一个同事说chrome直接改input的type就可以了, 才知道有这个方法, 感觉火星了. 这样会不会不安全...

input

密码

type

30 replies • 2019-11-06 14:46:13 +08:00

1

lululau

Jun 10, 2015

确实不大安全

2

jkjoke

Jun 10, 2015

不太安全，所以重要的网站不会用记住密码

3

publicID001

Jun 10, 2015 via Android

1

这有什么不安全？只要保存了密码就必然是要读取并且发给服务器的，这里不显示还可以抓包啊，还可以分析数据文件啊。
浏览器需要对这种安全负责么？这不是和电脑上其他文件一样是你应该做的事情么？

4

openroc

Jun 10, 2015

嗯。开机密码很重要啊。：）

5

fwings260

Jun 10, 2015

一切放在前端的东西都没啥安全性。。。。。
因为本地就可以改呀。。。。

6

lyragosa

Jun 10, 2015

3

你的电脑都被别人物理接触了

还跟我提安全？

7

acthtml

Jun 10, 2015

浏览器记住密码是明文方式记住的。
你能看到浏览器所有记住的密码明文。
chrome进入设置》密码和表单

8

sarices

Jun 10, 2015

@acthtml 有加密手段的，不过不知道加密算法是否安全，我把所有数据加密了

9

vmebeh

Jun 10, 2015

ChromePass
http://www.nirsoft.net/utils/chromepass.html

所有保存的密码，无需登录密码，连管理员权限都不要，直接看光光。

10

FrankFang128

Jun 10, 2015 via Android

看dev tools 里的 HTTP 请求，能把你全都看光。

11

ZHenJ

Jun 10, 2015

1password和lastpass欢迎你

12

orvice

Jun 10, 2015

浏览器自带的密码保存功能从来都不用来记录Gmail等重要重要密码。。。基本都只记录一些小网站的

13

learnshare

Jun 10, 2015

记住密码也只是本地而已，电脑别给别人碰好了

14

can

Jun 10, 2015

你在前端输入完密码，F12，把 input 的 type 由 password 改成 text，看到明文，这样有什么不安全的？都是你输入的，你的意思是你刚输入完就要通过ajax自动完成加密？
如果你 submit 之后密码框的 type 还能由 password 改成 text 看到明文，这叫不安全。

这问题就像之前有人说登陆了Lastpass后查看本地的密码，也是通过改类型可以看到明文……这不是不安全。
就像Chrome认为记住密码并且可以明文看到并没有不安全，前提是你的电脑是安全的。

15

Citrus

Jun 10, 2015 via iPhone

@vmebeh 如果需要密码的话每次自动完成就都需要密码了。。。那你就要说烦死了。。。

话说，我比较好奇，为啥这么多人纠结浏览器保存密码这件事。。。如果我能物理接触你的电脑，我直接把你硬盘拔了，你设啥密码都没用。。。

16

billlee

Jun 10, 2015

Firefox 可以设置主密钥，没有密钥是不能解密保存的密码、证书私钥等内容。
至于不设置主密钥的，就算浏览器不给显示也可以直接去硬盘里面读出来啊。浏览器不显示只能提供虚假的安全感，反而不安全。

17

weyou

Jun 10, 2015

@can 同意

18

takwai

Jun 10, 2015

@vmebeh 如果你系统是多账号的，只要把当前登录账号注销，切换其他账号登录，用此软件是看不到注销账号的 chrome 密码的。

19

ivanchou

Jun 10, 2015 via Android

所以一定要设置开机密码啊手机也是一样

20

loading

Jun 10, 2015 via Android

以前见到有些网站，进去修改密码页面，当前密码就是星标显示的，自己能通过这个方法查看到别人的密码（其他电脑），以为自己很牛。

现在发现，就是那个网站明文保存密码了…

21

vmebeh

Jun 10, 2015

@Citrus 问题是任何没底线的程序都能读到保存的密码
@takwai 嗯，用到了系统内置的权限控制/加密，但是如上

一直以为 Chrome 是用登录账户来加密保存的，前几天才看到有这个情况直接换上了 1Password。

22

Citrus

Jun 10, 2015 via iPhone

@vmebeh 事实上，只有当前账户和系统管理员才能读取，并不是任何人都能读取。

23

Mutoo

Jun 10, 2015

离开电脑不锁屏都是耍流氓。

24

cbais7890

Jun 10, 2015

根本不用这么麻烦，如果chrome又是记住密码，直接点击设置里面－>高级设置->密码和表单－>管理密码
就能看到明文密码，什么网站都有

25

vmebeh

Jun 10, 2015

@Citrus 以当前账号运行的任何程序都能读到，而不仅仅是 Chrome。

26

processzzp

Jun 10, 2015 via Android

@vmebeh
@lululau
@jkjoke
https://technet.microsoft.com/en-us/library/hh278941.aspx

Ten Immutable Laws Of Security
参见这两条：1. If a bad guy can persuade you to run his program on your computer, it's not solely your computer anymore.
2. If a bad guy has unrestricted physical access to your computer, it's not your computer anymore.
所以安不安全是个伪命题，因为在帖子假设条件下你的电脑本身就是不安全的。