V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
xxl123456
V2EX  ›  浏览器

浏览器非常不安全!

  •  
  •   xxl123456 · 2023-10-31 11:30:44 +08:00 · 12894 次点击
    这是一个创建于 424 天前的主题,其中的信息可能已经有所发展或是发生改变。

    现在电脑上有谷歌浏览器登录一个账号,edge 登录另一个账号, 现在我的操作来了,先卸载 edge ,用 geek 卸载,然后重新从官网下,下载完成之后打开,之前 edge 登录的账号还在登录, 并且 edge 把谷歌浏览器账号的书签、历史记录、扩展,甚至密码都导入到 edge 的账号中, 有没有大佬知道为啥会这样?

    78 条回复    2023-11-01 18:32:21 +08:00
    AoEiuV020JP
        1
    AoEiuV020JP  
       2023-10-31 11:38:56 +08:00   ❤️ 1
    听起来没什么问题,
    卸载保留用户数据也是常见的了,
    win 版 chrome 用户数据本来就是默认不加密的谁都能读取一直是这样的,
    coinxu
        2
    coinxu  
       2023-10-31 11:40:06 +08:00
    除非你没有锁屏的习惯,要不然确实不安全
    opengps
        3
    opengps  
       2023-10-31 11:40:46 +08:00   ❤️ 1
    edge 会自动从 chrome 里导入东西
    HomeZane
        4
    HomeZane  
       2023-10-31 11:43:11 +08:00   ❤️ 3
    你这标题,是骗人进来吗
    hanssx
        5
    hanssx  
       2023-10-31 11:43:11 +08:00
    用户数据是在你本地的某个浏览器目录的,它应该是读取了 chrome 的。
    fzls
        6
    fzls  
       2023-10-31 11:43:15 +08:00
    程序目录和数据目录不在同一个地方吧-。-你卸载的时候没有干掉数据目录
    qinyui
        7
    qinyui  
       2023-10-31 11:43:50 +08:00   ❤️ 1
    @AoEiuV020JP 啊?那 win 上的任何软件岂不是都可以随意读取 chrome 里保存的所有密码了?
    retNu1l
        8
    retNu1l  
       2023-10-31 11:47:52 +08:00
    mimikatz 了解一下,数据保存在本地的,你应该是安装新浏览器是授权导入其他浏览器数据了。
    zealotxxxx
        9
    zealotxxxx  
       2023-10-31 11:48:09 +08:00
    你的密码都是本地明文保存的,同浏览器读取很正常。你都把软件安装到本地了,如果是病毒就算不是 edge 你也出事儿了。
    密码的性质决定了不可以走哈希,最多搞加密,但是你就算加密也是密钥放本地,多此一举。


    https://softwareengineering.stackexchange.com/questions/141402/how-does-a-web-browser-save-passwords
    vikaptain
        10
    vikaptain  
       2023-10-31 11:49:43 +08:00
    你卸载只删除了程序文件,没有清空数据。
    浏览器的密码都是明文存储的
    你应该是在 edge 启动的时候导入了 chrome 的数据,所以 chrome 的记录同步到了 edge 中。
    都是正常行为,没有发现不安全的地方。
    wy315700
        11
    wy315700  
       2023-10-31 11:50:15 +08:00
    @qinyui
    你是不是对 PC 的安全性有什么误解,以前的时候其他软件拿到管理员权限以后甚至可以直接读取 chrome 的内存。。
    所以 PC 上需要安装杀毒软件防护软件。
    ysc3839
        12
    ysc3839  
       2023-10-31 11:51:33 +08:00 via Android   ❤️ 3
    @AoEiuV020JP @qinyui
    Windows 和传统桌面 Linux 没有严格的沙盒机制,一个程序如果不依赖外部密码就能读取某些数据的话,另一个程序也能做到。
    macOS 对此的解决方案是,系统的钥匙串可以分应用限制读取,比如说是 A 应用创建的,那就只有 A 应用能读取,其他应用要读取的话需要管理员权限。而 A 应用的识别则是通过包名和签名。需要注意的是,macOS 非商店应用没有文件沙盒,A 应用是能读取 B 应用的各种数据的,只能通过数据加密来保证安全。
    Android 和 iOS 的解决方案是,不同应用数据隔离,应用只能读取自己的数据。
    AoEiuV020JP
        13
    AoEiuV020JP  
       2023-10-31 11:52:15 +08:00
    @qinyui #7 确实是这样的,方便和安全不可兼得,
    chrome 密码实际上是加密的,只不过加密方式和密钥本身是不加密的,等于不加密,
    你想想,如果 chrome 真的把数据加密了,那你用的时候都要解密是不是很麻烦,实际上你使用 chrome 并不涉及解密对吧,
    linux 版 chrome 默认第一次打开就会问你要密码,设置以后每次启动 chrome 都要输入密码解锁,麻烦的一匹,我都是设置空密码,就不用解密,
    tool2d
        14
    tool2d  
       2023-10-31 11:56:57 +08:00
    我记得 windows 的 chrome 数据都是和登录账号绑定的,你用另外一个帐号登录 windows ,应该就没办法导入浏览器密码了。

    从这点意义上来说,数据是安全的。
    shyangs
        15
    shyangs  
       2023-10-31 11:57:21 +08:00   ❤️ 1
    Firefox 設了主控密碼,(網站登入密碼)就是真加密.
    declandragon
        16
    declandragon  
       2023-10-31 12:14:18 +08:00
    edge 是微软的,windwos 也是微软的,他们在系统层面想做啥就做啥。是这个意思吧?
    Lightbright
        17
    Lightbright  
       2023-10-31 12:31:43 +08:00 via Android   ❤️ 1
    哥,我以为你要爆几个 Chrome 0day 出来呢
    EVANGELIONAir
        18
    EVANGELIONAir  
       2023-10-31 13:14:23 +08:00
    首先用户目录和程序目录是独立的,你别告诉我你 linux 卸载软件包能够把你用户目录也给删的,这不可能,其次,edge 首次打开的引导界面就会 [明确弹出] 是否定期导入 chrome 的数据 的选项
    LOGOSJ
        19
    LOGOSJ  
       2023-10-31 13:21:54 +08:00
    @ysc3839 那是说非应用商店下载的 A 能读取到非应用商店下载的 B 创建的钥匙串?太可怕了吧
    ysc3839
        20
    ysc3839  
       2023-10-31 13:23:55 +08:00 via Android   ❤️ 1
    @LOGOSJ 钥匙串是不行的,除非有管理员权限。但是文件是可以的,非商店应用,只有在访问桌面、下载等特定的几个文件夹时会提示用户授权,访问别的应用的配置文件是不需要授权的。
    可以下载个第三方的终端应用,自己输入命令访问试试。
    hez2010
        21
    hez2010  
       2023-10-31 13:25:15 +08:00   ❤️ 1
    1. edge 和 chrome 用的都是 chromium ,密码管理是在 chromium 层面做的,所有使用 chromium 内核的浏览器都可以相互导入数据和密码。
    2. chromium 把用户密码加密后存储在本地文件,但是加密用的密码是明文存储的,所以任何的程序其实都能访问你的密码
    3. Windows 也有像 macOS 钥匙串那样的安全的凭据管理器,并且以前老 edge 和 IE 都是用那个的,非常安全。但无奈 chromium 不用这玩意非得自己整了个完全不安全的实现,即使在 macOS 上 chromium 也没用苹果的钥匙串,所以在 macOS 上 chromium 内核的浏览器的密码存储也不安全。
    4. 有人说到浏览器可以设置主密码在访问密码前输入验证,其实那个只是是浏览器的 UI 层面做的,而不是 chromium 层面和密码文件上做的,只是用来防未经允许自动填充了密码这种情况的,底下的密码存储仍然不安全。
    duanxianze
        22
    duanxianze  
       2023-10-31 13:28:39 +08:00
    @LOGOSJ 有啥可怕的呢?就好像你家有个钱包,谁进来都能拿,你要做的是锁上门,而不是发明一个别人摸不着的钱包,类比电脑,你应该锁屏,这样就不会泄露,还担心,可以全盘加密
    duanxianze
        23
    duanxianze  
       2023-10-31 13:31:07 +08:00
    @ysc3839 再补充一下,所以 chrome 显示密码明文的时候是让你校验系统开机密码,只要保证你对当前用户具有绝对的控制权就好了
    RanKaede
        24
    RanKaede  
       2023-10-31 13:45:08 +08:00
    别以为只有浏览器会访问,
    某厂的管家一样会访问用户的浏览记录等隐私信息。
    https://v2ex.com/t/836014
    pkokp8
        25
    pkokp8  
       2023-10-31 13:47:42 +08:00
    数据库可以直接读 cookie
    LOGOSJ
        26
    LOGOSJ  
       2023-10-31 13:50:46 +08:00
    @ysc3839 无法访问钥匙串就行,担心的是传输出去
    8355
        27
    8355  
       2023-10-31 13:59:51 +08:00
    如果按照你说的,edge 只需要不读取对应目录数据就可以说明浏览器是安全的嘛?
    zhoust
        28
    zhoust  
       2023-10-31 14:01:20 +08:00
    哇 好不安全!再也不用浏览器了
    beixiao
        29
    beixiao  
       2023-10-31 14:19:17 +08:00 via iPhone
    你就是为了这么点事,就把大家叫出来啊😅
    nothingistrue
        30
    nothingistrue  
       2023-10-31 14:25:32 +08:00   ❤️ 6
    你必须知道,Windows 、Linux ,一直都是本地操作系统,而本地资源安全的重点,是防止外部入侵和多用户之间的资源隔离。对于同用户下,非病毒程序之间,是不做任何隔离的。虽然上层一直再鼓捣着一些外部防护措施,但内核这么多年一直都是这么干的,所以本质一直没变。

    在以上体系下,别说 edge 、chrome 之间,就是 Firefox ,以及各种不搞特立独行的浏览器,它的书签、历史记录、以及密码,都是相互可读的。并且,其他软件也都是可以读的,只要你用得是同一个操作系统用户。这些都是合法的,杀毒软件不能管(而且视地方的不同,管了可能还要吃垄断官司)。

    如果跟手机操作系统类比,那么 Windows 、Linux 上的每个程序,都相当于取得了所有权限的应用。所以不要随意装你不能 100%信任的任何程序。

    现在回头来看,你就能发现 Win 11 这种,在内核还是本地多用户操作系统的前提下,强制绑定微软账户将其当作单用户网络终端——即手机操作系统的行为,是多么脑残。
    ColoThor
        31
    ColoThor  
       2023-10-31 14:46:51 +08:00
    所以改用了 firefox
    Monl
        32
    Monl  
       2023-10-31 14:47:28 +08:00
    Firefox 也可以一键导入 Chrome 密码,虽然知道就这样设计,但想想随便一个应用程序都可以读取还是挺膈应的,所以把 Chrome 密码全删了换 Keepass 了。或者用火狐,它有个主密码的功能,每次输入密码都需要主密码来解锁,就是有点麻烦。。
    stanshw
        33
    stanshw  
       2023-10-31 14:57:23 +08:00
    在设置里关掉 edge 的自动导入 chrome 数据!!!(默认开启)之前有一次发现每次 chrome 上一次关闭的网页都会在下一次 edge 的会话里出现,发现是这么个问题
    ysc3839
        34
    ysc3839  
       2023-10-31 15:05:31 +08:00 via Android
    @duanxianze 那个验证只是 Chrome 自己加的,实际上不需要也可以读取。
    someday3
        35
    someday3  
       2023-10-31 15:10:47 +08:00
    基础太差了,建议少混论坛多读书
    qinyui
        36
    qinyui  
       2023-10-31 15:11:18 +08:00
    @AoEiuV020JP 那确实太不安全了,电脑上任意一个软件都可以读取 chrome 里存储的密码泄露出去,书签浏览记录什么泄露倒是无所谓,关键是密码。。。以后尽量不用这个功能了。。。
    zgsi
        37
    zgsi  
       2023-10-31 15:11:19 +08:00
    亏你还是程序员。。。
    LandCruiser
        38
    LandCruiser  
       2023-10-31 15:15:30 +08:00 via iPhone
    @someday3 请问读什么书能增强此类常识呢?我是非科班出身,读操作系统吗?
    hez2010
        39
    hez2010  
       2023-10-31 15:22:58 +08:00
    @nothingistrue
    > 强制绑定微软账户将其当作单用户网络终端

    但你可以在系统上登录多个微软账户来以多用户的方式来使用啊?不同用户之间的也不能访问对方的文件,除非有系统管理员权限。所以其实是多用户网络终端。
    lambdaq
        40
    lambdaq  
       2023-10-31 15:27:59 +08:00   ❤️ 1
    首先,这个帖子是发在 程序员 节点的,那么我就要好好喷一喷现在的程序员了。

    如果你是浏览器制造商,用户档案各种信息,存哪里呢?存文件对吧。而且一般都是存本地(否则断网的时候不给别人用浏览器了)

    那么问题来了。你卸载 & 重新安装浏览器,是不是还是会去读同一份用户档案?


    那凭啥就不能读取到同一份用户档案?
    777777
        41
    777777  
       2023-10-31 15:40:00 +08:00
    https://support.google.com/accounts/answer/11350823?hl=zh-Hans 开启设备端加密功能就行,我为什么总感觉很多人的安全知识一直停留在几年前
    nzbstn
        42
    nzbstn  
       2023-10-31 15:48:00 +08:00
    快速爬了一下楼 , 楼上许多人都提到了, edge 有个很骚的设置就是"与其他 windows 功能共享浏览数据", 打开这个功能就可以实现在 edge 和 chrome 之间无缝切换,
    还有就是我也是在学 playwright 时候发现的, 不管你怎么卸载 edge 或者 chrome , 用户数据好像都不会删除, 只能找到文件, 手动删掉, 这才算移除了你在浏览器中的本地数据
    "edgedev": r"C:\Users\$username$\AppData\Local\Microsoft\Edge Dev\User Data",
    "edge": r"C:\Users\$username$\AppData\Local\Microsoft\Edge\User Data",
    "chrome": r"C:\Users\$username$\AppData\Local\Google\Chrome\User Data",
    这三个路径可以参考一下
    nzbstn
        43
    nzbstn  
       2023-10-31 15:52:27 +08:00
    保存密码的究极方案还得是第三方存储, 而不是依赖浏览器本身, 我最开始啥都不懂的时候玩电脑就是把密码存浏览器里, 然后重置系统, 密码全丢了, 现在想想感觉自己很蠢,
    不过 keepass 还是蛮好用的, 至于每次都要主密码这个问题, 可以设置记住网站请求, 就不用每次都输入主密码了
    loolac
        44
    loolac  
       2023-10-31 15:56:26 +08:00
    卸载之前退出浏览器当前登录用户试试?配置文件和用户数据都是和当前登录用户关联的,现在的浏览器很多都是一个用户一个配置,开启同步后会自动同步你的配置,本地删了只要重新登录,很多配置会自动同步下来。
    Recle
        45
    Recle  
       2023-10-31 16:24:23 +08:00
    edge 有自动导入 chrome 全部数据的功能,并且默认开启。极其流氓。我在某一次弹页面的时候被强制唤醒 edge ,发现了这个玩意,从设置里找到了关闭按钮
    lizuoqiang
        46
    lizuoqiang  
       2023-10-31 17:07:11 +08:00   ❤️ 1
    计算机非常不安全!
    SunsetShimmer
        47
    SunsetShimmer  
       2023-10-31 17:23:10 +08:00
    holouser
        48
    holouser  
       2023-10-31 17:30:46 +08:00
    现在看,小而美的扫码登录岂不是遥遥领先,Win 上普通用户使用就是很不安全
    yoyodad
        49
    yoyodad  
       2023-10-31 17:54:41 +08:00
    任意一款 windows 软件都有权限读取 chrome password manager 的数据么?
    zhangchimr
        50
    zhangchimr  
       2023-10-31 18:08:01 +08:00
    亏你还是程序员+1……
    someday3
        51
    someday3  
       2023-10-31 18:17:34 +08:00
    @LandCruiser 没有专门解答这类问题的,建议别挑,什么都读,像《电脑报》这种简单一点的杂志可以找来看看,会将很多基础的东西。
    brsyrockss
        52
    brsyrockss  
       2023-10-31 20:44:56 +08:00
    @qinyui 啊?你才知道?
    9i5NngJHI4P7dm42
        53
    9i5NngJHI4P7dm42  
       2023-10-31 21:23:52 +08:00
    V2EX 也低龄化了吗
    jianguoni
        54
    jianguoni  
       2023-10-31 21:30:32 +08:00
    @HomeZane 同感
    jiangzm
        55
    jiangzm  
       2023-10-31 22:18:35 +08:00
    这和浏览器有啥关系, 你这是本地应用权限问题,前提就是使用者是可信的
    xingheng
        56
    xingheng  
       2023-10-31 23:15:11 +08:00
    @HomeZane #4 实际上很多发帖人都不会取一个合适的标题,无意的还好,有意的才是烂泥。
    mobpsycho100
        57
    mobpsycho100  
       2023-10-31 23:30:42 +08:00
    我的方案是装 sandboxie 然后不同应用装不同 sandbox 里面
    zhw2590582
        58
    zhw2590582  
       2023-10-31 23:30:46 +08:00
    不是很正常吗
    iseki
        59
    iseki  
       2023-10-31 23:38:16 +08:00 via Android
    @ysc3839 没有签名的程序 mac 是怎么处理的?非 mac 用户,交叉编译出来的程序也不会考虑 mac 下的要求
    ysc3839
        60
    ysc3839  
       2023-11-01 00:04:05 +08:00 via Android
    @iseki 目前 macOS 应用是强制要求签名的,不签名不给运行,不过不一定要花钱,可以自签名,自签名在打开时会提示未知开发者。
    Muniesa
        61
    Muniesa  
       2023-11-01 00:11:22 +08:00 via Android
    同理,ssh 的私钥也非常不安全…
    Shilion
        62
    Shilion  
       2023-11-01 00:15:43 +08:00
    所以我觉得 Firefox 提供 MSIX 版是很大的优势
    foxridder3
        63
    foxridder3  
       2023-11-01 01:07:57 +08:00
    当你的电脑不安全的时候,你硬盘上的任何东西都已经不安全了。
    ysc3839
        64
    ysc3839  
       2023-11-01 01:43:21 +08:00 via Android
    @Shilion AppX/MSIX 打包的应用既可以是 UWP 应用也可以是 Win32 应用,如果是 Win32 应用,仍然可以不受沙盒限制。另外,Win32 应用还是能读写其他 AppX 应用的私有数据。
    iseki
        65
    iseki  
       2023-11-01 03:15:42 +08:00
    @ysc3839 我用 GOOS=darwin go build 出来的程序似乎只是会弹一个警告对话框?通过一些技巧好像还是能运行的
    ysc3839
        66
    ysc3839  
       2023-11-01 03:29:35 +08:00 via Android   ❤️ 1
    @iseki 之前跟朋友测试过,没记错的话,设置里允许未知来源后,自签名的应用只需要右键打开再确认就行,直接双击会提示未知开发者。然后如果是系统自带解压工具解压的话,会被加上 quarantine 标记,然后整个程序包会被复制还是链接到一个特殊的位置去运行,但这不影响正常运行,似乎只会影响程序自更新。
    然后不知道是 bug 还是什么原因,仅支持 ARM ,不是 x86 和 ARM 混合的应用,自签名后是无法右键打开的,会报什么错误,解决方法要不然是编译成混合版本,要不然主程序改个名,然后弄个 shell 脚本去 exec 真实的主程序。
    gransh
        67
    gransh  
       2023-11-01 03:41:34 +08:00
    呃,,,这个问题有什么好讨论的。edge 是微软的,windows 也是微软的。edge 权限再大也没什么好奇怪的,微软要想作恶不要太容易。你都用 windows 还防 edge ,防得住嘛?
    bollld607
        68
    bollld607  
       2023-11-01 08:24:40 +08:00 via Android
    只有小白才用浏览器存密码,用浏览器记住密码的安全性甚至不如用记事本记密码,因为前者的文件路径是固定的,后者 txt 文件你想放哪都行。
    sloknyyz
        69
    sloknyyz  
       2023-11-01 09:30:51 +08:00
    电脑自己用没什么问题,要卖的话,最好重装系统
    Davic1
        70
    Davic1  
       2023-11-01 09:48:21 +08:00
    不要瞎 JB 起标题...
    wupher
        71
    wupher  
       2023-11-01 10:05:55 +08:00
    data sandbox 的问题,12 楼说的很清楚了。

    这与操作系统设计机制相关,和浏览器反而关系不大。

    这个标题非常不准确。
    polarbearn
        72
    polarbearn  
       2023-11-01 10:23:45 +08:00
    window 非常不安全!, 其他用户下载存放到 D 盘的文件,用另一个用户登录,竟然能看到这个文件!!!
    大家要重视起来.
    letwewell
        73
    letwewell  
       2023-11-01 10:27:12 +08:00
    window 非常不安全!, 其他用户下载存放到 D 盘的文件,用另一个用户登录,竟然能看到这个文件!!!
    大家要重视起来.
    SomeBodsy
        74
    SomeBodsy  
       2023-11-01 11:03:05 +08:00
    啊!对!对!对!
    thepot
        75
    thepot  
       2023-11-01 13:31:47 +08:00
    那我问一下,win 下面,什么软件能导出 chrome 的密码?
    thepot
        76
    thepot  
       2023-11-01 13:35:36 +08:00
    我试了一下,
    win 中无需验证,即可导出明文密码
    mac 中需要输入系统密码,才可以导出密码
    shiji
        77
    shiji  
       2023-11-01 13:37:04 +08:00
    Firefox 开启主密码 别的软件就读不出来了。
    这就是我换成 FF 的原因。
    qinyui
        78
    qinyui  
       2023-11-01 18:32:21 +08:00
    我理解楼主,看看这篇: https://www.v2ex.com/t/872745
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2597 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 31ms · UTC 10:29 · PVG 18:29 · LAX 02:29 · JFK 05:29
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.