V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
webfrogs
V2EX  ›  软件

慎用密码管理软件的自动填充功能

  •  1
     
  •   webfrogs · 2018-01-02 12:29:28 +08:00 · 6718 次点击
    这是一个创建于 2546 天前的主题,其中的信息可能已经有所发展或是发生改变。

    今天看到这个消息,说是广告商正在通过使用不可见的 form 来捕捉密码管理工具自动填充的数据。

    本人还是挺依赖这个功能的,看来以后还是不要再用了。

    22 条回复    2018-01-02 20:34:06 +08:00
    wtbhk
        1
    wtbhk  
       2018-01-02 12:37:14 +08:00 via Android   ❤️ 1
    密码填充软件首先判断域名的啊
    lxy42
        2
    lxy42  
       2018-01-02 12:48:17 +08:00 via Android
    @wtbhk 网站嵌入的广告商的 JS 可以创建 form
    Lothar
        3
    Lothar  
       2018-01-02 12:49:51 +08:00
    细想似乎真有可行性..
    xenme
        4
    xenme  
       2018-01-02 12:50:52 +08:00
    1. block 了各种广告以及追踪的请求和域名
    2. 1password,手动 fill
    3. 每家都是独立的,发现一家干掉一家就好了,没什么大不了的。
    hugee
        5
    hugee  
       2018-01-02 12:53:06 +08:00 via Android
    一直对自动忌惮
    tony1016
        6
    tony1016  
       2018-01-02 13:06:29 +08:00
    用户名可以抓,密码怎么抓呢??
    coolcoffee
        7
    coolcoffee  
       2018-01-02 13:11:23 +08:00
    这个在 lastpass 上出现过一次可以伪造域名导致扩展自动填充的, 但重要账户都是有二次验证了, 密码库被爆了也没太大关系
    ligyxy
        8
    ligyxy  
       2018-01-02 13:12:03 +08:00
    700388
        9
    700388  
       2018-01-02 15:00:54 +08:00
    没什么用的,自动填充,会判断网站才显示出来。网站不对,自动填充根本就不显示。随便伪造的网站,那倒是可以捕获密码,但是,随便网站密码的价值不大的话,密码也毫无用。
    只要每个账户,密码不同,就算他拿到密码,也是个低权密码。
    lance6716276
        10
    lance6716276  
       2018-01-02 15:10:11 +08:00
    我记得是 chrome 对 https 页面不会自动填充,需要手动用鼠标选那个候选项。http 页面会自动填充,但是 http 问题多的是呢,不差自动填充这一点
    Quaintjade
        11
    Quaintjade  
       2018-01-02 15:28:20 +08:00
    很早就在担心这种问题,终于有人这么做了。
    freewarcraft
        12
    freewarcraft  
       2018-01-02 16:54:06 +08:00
    在 edge 上用 1password,电脑从休眠中恢复后 1p 插件都无法启动,根本不担心自动填充的问题。。。
    AEANWspPmj3FUhDc
        13
    AEANWspPmj3FUhDc  
       2018-01-02 17:14:07 +08:00
    keepass 的自动填充就完全没有这种顾虑,推荐一下
    alexyangjie
        14
    alexyangjie  
       2018-01-02 17:26:48 +08:00   ❤️ 2
    这个四年多前就有人讨论过。当时写了一个 demo page, 刚才用 lastpass 最新版测试,依然中招。只要打开 auto fill 就会被脚本劫持。https://www.alexyang.me/demo/
    Xrong
        15
    Xrong  
       2018-01-02 17:48:07 +08:00
    @alexyangjie 1Password 测试中招
    peesefoo
        16
    peesefoo  
       2018-01-02 19:12:19 +08:00 via Android
    待会测试一下 enpass
    tghgffdgd
        17
    tghgffdgd  
       2018-01-02 19:29:21 +08:00
    @alexyangjie
    @Xrong
    但是你这个是同一个域名啊,不同域名的话还能成功那确实问题大
    yongyuhi
        18
    yongyuhi  
       2018-01-02 19:31:02 +08:00 via Android
    最大的广告商就是谷歌啊
    paradoxs
        19
    paradoxs  
       2018-01-02 19:32:24 +08:00
    @alexyangjie 这个是同域名的,不算是中招了吧?
    alexyangjie
        20
    alexyangjie  
       2018-01-02 20:10:14 +08:00
    @tghgffdgd #17 所以广告商的危害很大,因为广告商就是跨域的。
    alexyangjie
        21
    alexyangjie  
       2018-01-02 20:10:27 +08:00
    @paradoxs #19 见楼上
    yu099
        22
    yu099  
       2018-01-02 20:34:06 +08:00 via Android
    @alexyangjie chrome 自动填充没问题诶
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1384 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 16:50 · PVG 00:50 · LAX 08:50 · JFK 11:50
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.