我一般会使用浏览器保存自己的帐号和密码,下次登录就无需重新输入,非常方便。而像傲游这样的浏览器还提供了自动同步功能,让我一个傲游帐号,就带着互联网上所有帐号密码去旅行。
昨天我忽然在想,所有浏览器都说自己很安全,加密很到位,能够有效保证帐号密码的安全,但事实是否真的如宣传的那样靠谱?
简单一试,果然就发现了漏洞。IE、Chrome、QQ浏览器、傲游浏览器、搜狗浏览器……总之,我试验过的所有能够通过按“F12”调出开发者工具的浏览器,都有这个安全漏洞…
现在进入正题,我们以谷歌Chrome浏览器登录百度为例。
1、打开Chorme,进入对应的登录框。由于之前保存了帐号密码,因此浏览器会帮你自动填写。
2、按“F12”,调出浏览器的开发者工具,接下来请参考图片上的说明,按以下步骤进行操作:
①选择元素选取工具;
②把鼠标移动到密码框上方,密码框被自动选中变为高亮,点击一下密码框即可确认选中;
③你会发现,网页源代码中也有一段代码被自动高亮,这就是密码框对应的网页元素。在“id”标签的内容上双击,将内容复制下来。
(为了节约版面,下面这张图是由多张截图合成的,与实际显示有所不同,但不影响结果)
3、继续参考图片说明,执行以下步骤:
①切换到“Console”选项卡,即控制台;
②输入命令 document.getElementById(" 刚才复制的密码框id ").value ,并按回车执行;
③从控制台的输出中,获取密码,注意密码不包含两端的引号。
怎么样,是不是非常非常简单?任何一个懂点 JavaScript 的人都知道这个漏洞发现得实在是太没有技术含量了。然而最令人担忧的就是,如果任何一个人,都可以通过我这样几张图片,就简简单单地学会,那以后是否还能够放心地把自己的电脑交给别人使用呢?要知道,熟练的话,这个步骤完成起来不需要10秒…
有漏洞怎么办?想办法补呗。我自己大概想到的几种解决措施:
浏览器方面:
1、自动填写登录表单时,密码框先采用随机字符,待用户发送登录请求时再填入真实密码,这样的话,用上面的方法就只能查询到错误的密码
2、来我大深信服(深圳市深信服电子科技有限公司)挖几个安全攻防工程师,提升下安全水平……o(∩_∩)o 没错,我在给公司打广告……
用户方面:
1、打死不能用浏览器保存重要的帐号密码,比如网银,这个不能偷懒;
2、要有自己的多套密码:
①在腾讯、网易一类比较信任的网站,用自己最常用的密码;
②在CSDN等比较可信的网站,使用第二套密码;
③在一些纯粹为了下载点资源而注册的网站,或是无名网站,使用一套可以昭告天下的密码。
这样就算有一家网站卖了你的资料,或是被黑客攻击,也不至于全盘沦陷。
3、尽量不要把自己的电脑借给别人使用…
本人是还没毕业的本科应届生,对前端的知识了解很浅,文章必有错漏之处,还望大神指正。