b*****2 发帖数: 11103 | 1 Google's Chrome browser is surprisingly easy
Engadget / by Jamie Rigg /?10min ago
Most browsers will ask if you want your passwords saved so when you're next
jumping around the web, logging in to sites is that little bit easier. Now,
you'd like think those passwords are squirreled away where no one can dig
them up, but it appears that in Chrome, it's actually very easy to find them
. Highlighted by software developer Elliott Kember, getting access to the
list of saved passwords requires only that you point the browser at "chrome:
//settings/passwords" and click on one of the saved entries. A small "show"
button will then appear next to the hidden password -- hit that and it'll be
revealed. Justin Schuh, Chrome security tech lead, has responded to various
comments on this, saying that once someone's gotten past the OS login stage
, they could theoretically find your passwords out anyway, using various
underhand means. No doubt the attention this is bound to receive will force
an update from Google that actually hides users' passwords. Until then, keep
your laptop away from any malicious friends that, given half the chance,
would wreak havoc to your Facebook account.
Filed under: Software, Google
Comments
Via: Business Insider
Source: Elliott Kember
Visit website |
D*G 发帖数: 471 | 2 后台应该不是明文 只是要显示的时候是明文显示,没有先要求输入主密码是有漏洞 |
D*********Z 发帖数: 415 | 3 原来firefox也是同样的,只不过后来到处都加上了master pw验证。
事实证明虽然麻烦点,但保存密码时要安心很多 |
h*********r 发帖数: 10182 | 4 从来不让browser存密码
【在 D*********Z 的大作中提到】 : 原来firefox也是同样的,只不过后来到处都加上了master pw验证。 : 事实证明虽然麻烦点,但保存密码时要安心很多
|
d*******3 发帖数: 6550 | 5 这早就不是新闻了吧,chrome都出来多少年了。。。 |
a*****g 发帖数: 19398 | 6 哎吆
next
,
them
chrome:
"
be
【在 b*****2 的大作中提到】 : Google's Chrome browser is surprisingly easy : Engadget / by Jamie Rigg /?10min ago : Most browsers will ask if you want your passwords saved so when you're next : jumping around the web, logging in to sites is that little bit easier. Now, : you'd like think those passwords are squirreled away where no one can dig : them up, but it appears that in Chrome, it's actually very easy to find them : . Highlighted by software developer Elliott Kember, getting access to the : list of saved passwords requires only that you point the browser at "chrome: : //settings/passwords" and click on one of the saved entries. A small "show" : button will then appear next to the hidden password -- hit that and it'll be
|
s******p 发帖数: 4962 | 7 试了一下,居然是真的
next
,
them
chrome:
"
be
【在 b*****2 的大作中提到】 : Google's Chrome browser is surprisingly easy : Engadget / by Jamie Rigg /?10min ago : Most browsers will ask if you want your passwords saved so when you're next : jumping around the web, logging in to sites is that little bit easier. Now, : you'd like think those passwords are squirreled away where no one can dig : them up, but it appears that in Chrome, it's actually very easy to find them : . Highlighted by software developer Elliott Kember, getting access to the : list of saved passwords requires only that you point the browser at "chrome: : //settings/passwords" and click on one of the saved entries. A small "show" : button will then appear next to the hidden password -- hit that and it'll be
|
B*********a 发帖数: 6244 | |
p***c 发帖数: 5202 | 9 真是低智商煞笔记者啊
你要显示密码,当然会给你显示出来,难道给你显示几个*****你开心? |
X****r 发帖数: 3557 | 10 没错。
根本问题是,你的计算机/手机会不会让不信任的人用?要是会的话,就根本不应该在
上面输入你的密码,无论保不保存,用什么方法保存。要是不会的话,明文存储密码就
完全不是问题。
【在 p***c 的大作中提到】 : 真是低智商煞笔记者啊 : 你要显示密码,当然会给你显示出来,难道给你显示几个*****你开心?
|
|
|
pc 发帖数: 1578 | 11 好歹要求一下用户身份验证再显示呀。这么脑残的设计居然还要抬它?
【在 p***c 的大作中提到】 : 真是低智商煞笔记者啊 : 你要显示密码,当然会给你显示出来,难道给你显示几个*****你开心?
|
pc 发帖数: 1578 | 12 刚试了一下,ie10还是要求身份验证先的。
【在 B*********a 的大作中提到】 : IE不是一直这样?
|
M****e 发帖数: 3715 | 13 一直这样 firefox的master password机制比较好 就是麻烦了点
next
,
them
chrome:
"
be
【在 b*****2 的大作中提到】 : Google's Chrome browser is surprisingly easy : Engadget / by Jamie Rigg /?10min ago : Most browsers will ask if you want your passwords saved so when you're next : jumping around the web, logging in to sites is that little bit easier. Now, : you'd like think those passwords are squirreled away where no one can dig : them up, but it appears that in Chrome, it's actually very easy to find them : . Highlighted by software developer Elliott Kember, getting access to the : list of saved passwords requires only that you point the browser at "chrome: : //settings/passwords" and click on one of the saved entries. A small "show" : button will then appear next to the hidden password -- hit that and it'll be
|
z**r 发帖数: 17771 | 14 你brower从google account logout出来了,就看不到了。不过的确应该来一个第二次
身份验证
【在 pc 的大作中提到】 : 刚试了一下,ie10还是要求身份验证先的。
|
p***c 发帖数: 5202 | 15 不是抬他,这个就是common sense,楼上说的,你logout google account就行啊,别
人就看不见了。
这个明文能显示的最大问题是,手机或者电脑被别人用了怎么办?ofcoz你要保证自己
的手机和电脑的安全,如果不能保证,重要的密码不保存就是了
好比你的钱包,掉了怎么办?cash肯定被人用了,你还能有什么办法?把钱包放好是正道
至于我自己,一直用firefox,firefox一样可以显示密码,但是有个master password
,相当于google account,多一层保护。敏感密码不保存
AGAIN:方便和security总是永远永远没法两全的,自己找balance
【在 pc 的大作中提到】 : 刚试了一下,ie10还是要求身份验证先的。
|
pc 发帖数: 1578 | 16 这怎么能比。你这看密码一年能用几次?每次用的时候,输入一个身份验证花多久?
每年付出几秒钟的代价就可以把安全性升高n档,你觉得是需要权衡的事情?
如果现在钱包可以提供一个功能,如果发现打开钱包的人不是owner,就自动suspend
所有包里的信用卡,你还是觉得不如保管好自己的钱包?
正道
password
【在 p***c 的大作中提到】 : 不是抬他,这个就是common sense,楼上说的,你logout google account就行啊,别 : 人就看不见了。 : 这个明文能显示的最大问题是,手机或者电脑被别人用了怎么办?ofcoz你要保证自己 : 的手机和电脑的安全,如果不能保证,重要的密码不保存就是了 : 好比你的钱包,掉了怎么办?cash肯定被人用了,你还能有什么办法?把钱包放好是正道 : 至于我自己,一直用firefox,firefox一样可以显示密码,但是有个master password : ,相当于google account,多一层保护。敏感密码不保存 : AGAIN:方便和security总是永远永远没法两全的,自己找balance
|
p***c 发帖数: 5202 | 17 这怎么能比。你一年电脑掉几次?手机电话掉几次?每年付出几秒钟的代价?不知道你
在说神马。firefox每次打开都要输master password,不是每年几秒钟
我常常要在其他browser或者手机上输入密码,有时候就要看看明文密码。所有密码管
理软件,所有,我是说所有,都提供查看密码功能。
这就是个均衡的问题,要方便就用,要安全就不用。人家提供这个功能,
你嫌不安全每次logout google account不就行了?
再嫌不安全,不用这个功能不就行了?
再不济,你uninstall chrome不就行了?
每个软件都有优点缺点。当然得挑着用。
比方firefox,每次运行都会问master password,很安全了吧?要是我运行firefox之
后走开了,别人就能看到我密码,不是一样有风险?
就是个度的问题,就是个balance的问题,你还别争,所有软件都是这样,至于最终搞
成啥样子,每个人理解不一样,每个公司看法不一样,就酱紫。
这怎么能比。你这看密码一年能用几次?每次用的时候,输入一个身份验证花多久?
每年付出几秒钟的代价就可以把安全性升高n档,你觉得是需要权衡的事情?
如果现在钱包可以提供一个功能,如果发现打开钱包的人不是owner,就自动suspend
所有包里的信用卡,你还是觉得不如保管好自己的钱包?
【在 pc 的大作中提到】 : 这怎么能比。你这看密码一年能用几次?每次用的时候,输入一个身份验证花多久? : 每年付出几秒钟的代价就可以把安全性升高n档,你觉得是需要权衡的事情? : 如果现在钱包可以提供一个功能,如果发现打开钱包的人不是owner,就自动suspend : 所有包里的信用卡,你还是觉得不如保管好自己的钱包? : : 正道 : password
|
p**r 发帖数: 5853 | 18 要是谁用个插件,插件扫一下你chrome,你就歇菜了。 |
j********2 发帖数: 4438 | 19
chrome插件这块估计不能扫描到密码这个层面,应该有类似sandbox的机制。不过从插
件之外突破就不好说了。
【在 p**r 的大作中提到】 : 要是谁用个插件,插件扫一下你chrome,你就歇菜了。
|
d***q 发帖数: 1119 | |
|
|
j****g 发帖数: 597 | |
i****a 发帖数: 36252 | 22 Re
[发表自未名空间手机版 - m.mitbbs.com]
【在 h*********r 的大作中提到】 : 从来不让browser存密码
|
g*****e 发帖数: 3417 | 23 电脑丢了被偷了怎么办。。。
【在 X****r 的大作中提到】 : 没错。 : 根本问题是,你的计算机/手机会不会让不信任的人用?要是会的话,就根本不应该在 : 上面输入你的密码,无论保不保存,用什么方法保存。要是不会的话,明文存储密码就 : 完全不是问题。
|
g******e 发帖数: 3760 | 24 赶快改Google 账号密码应该可以吧。没试过。不过我是采取中庸之道,重要的账号,
如银行账户等,从来不在本地存密码。好像大部分银行也不让你存。
【在 g*****e 的大作中提到】 : 电脑丢了被偷了怎么办。。。
|
g******e 发帖数: 3760 | 25 你这个有点joking.
【在 j****g 的大作中提到】 : 图书馆机器,公用帐号。不是每个人都是技术高手
|
X****r 发帖数: 3557 | 26 那就不是浏览器要解决的问题了。要防备这个可能性就直接硬盘加密。很多公司配发的
笔记本就是这样的。
【在 g*****e 的大作中提到】 : 电脑丢了被偷了怎么办。。。
|
g*****e 发帖数: 3417 | 27 看密码前要求身份验证呗,这当然该浏览器负责。
【在 X****r 的大作中提到】 : 那就不是浏览器要解决的问题了。要防备这个可能性就直接硬盘加密。很多公司配发的 : 笔记本就是这样的。
|