关于在浏览器保存密码,有人提到这个: https://github.com/moonD4rk/HackBrowserData
如果只是保存一些不涉及金融网站的密码,现在 chrome 可信么
如果只是保存一些不涉及金融网站的密码,现在 chrome 可信么
 |
1
geelaw 3 天前
Windows 的安全模型里,可执行程序没有身份,最细的权限粒度基本上就是“用户”(会话、窗口站点、桌面基本上和用户这一套是正交的),如果用户 A (人)用用户 B ( Windows 权限控制模型的对象)的身份运行程序 C ,那么 C 可以访问所有用户 B 的信息。
可执行程序没有身份,所以不存在加密方式,使仅某个可执行程序可以解密。所谓 app-bound encryption 只是让恶意软件需要绕路(实际上解密的进程是以用户 SYSTEM 的身份运行的,并检查请求解密的进程是 Chrome ),并不能从权限模型上禁止恶意软件。绕过方法很简单:用户 B 当然是有权限调试用户 B 的进程的,因此恶意软件以用户 B 的身份启动后,只需要调试用户 B 的 Chrome 即可注入任意代码,包括“解密之后发送出去”这种代码,此时 SYSTEM 身份的进程会认为请求解密的程序是 Chrome ,所以会同意。 实际上,要给用户 B 身份的非 app container 的应用程序注入代码非常简单,因为 shell 是可扩展的,只要注册一个 shell 扩展,那么在用户使用“打开”“保存”这类对话框的时候就很可能会加载此扩展。 预防针提示:Windows 8 引入的 app container 只能确保 container D 不能干扰 container D 之外的东西,不能确保用户 B 不能干扰它的 containers 。 |
|
2
geelaw 3 天前
所以答案取决于如何理解“安全”,按照“在模型下满足模型里的约束”的定义,当然是安全的。
|
 |
3
galenzhao 3 天前
密码现在我觉得没啥重要的,
2fa ,加硬件 key |
 |
4
passive 3 天前 via Android
以前没有 2FA 的时候从来不在浏览器保存密码,依赖密码管理器填充。最近几年强制各种各样的 2FA 迫使我在浏览器里记住密码。本地 2FA 变成了 1FA 。
真正重要的密钥用 yubikey ,私人银行账户不属于这类(银行也不给用)。 |
 |
5
totoro625 3 天前  1
edge 浏览器就是检验 chrome 浏览器是否安全的最可靠的工具
你在 chrome 里面新建一个密码,打开 edge 看一下有没有同步过来 edge 能偷,其他软件也能偷 |
 |
6
chqome 3 天前
取决于你设备里的其他软件,如果它们想利用 chrome 漏洞窃取密码的话
|
 |
7
kfpenn 3 天前
我就是那种用隐私换方便的人,不管什么网站,都会保存,反正又不会在网站上等银行账户什么的
|
Select Language