流行浏览器自动填充功能现漏洞,隐私全泄露

最新推荐文章于 2023-01-02 19:26:29 发布
最新推荐文章于 2023-01-02 19:26:29 发布
阅读量295 收藏
点赞数
原文链接:https://yq.aliyun.com/articles/114773
版权

每当注册一个新网站,又或者填写收货地址的时候,看着一大堆的文本输入框就觉得头痛。此时,相信大部分人都会用到浏览器自带的自动填充功能,一键填充如姓名、电话、地址等资料,能够省下不少时间。

不过,就在最近,一个芬兰的网页开发者和黑客 Viljami Kuosmanen 发现了一个重大的潜在安全漏洞,指出像 Chrome、Safari 和 Opera 这样带自动填充功能的浏览器,以及提供同样功能的插件和工具(如 LastPass)会泄露用户的隐私。

黑客通过简单的手段,就能够选择性隐藏页面上的文本输入框,而这,就意味着浏览器会在你不知情的情况下,把隐藏的输入框都给自动填充了。如下图 Viljami 的演示,虽然测试网页上只要求输入姓名和邮箱,但是按提交键后,抓取信息显示,除了这两个信息以外,用户的电话、地址等信息也上传了。

image

虽然自网购兴起后,我们的名字、地址、电话等个人信息就已经泄漏得差不多了。但对于一些海淘达人来说,还会经常需要填写如信用卡卡号、有效日期和安全码等这些敏感信息,就涉及到了个人资金的安全。而更让人担心的是,据 Viljami 称,这个漏洞已经存在多年了。

image

由于不支持一键表单填充,Firefox 需要用户逐个点击输入框才会给出输入建议,而他们自然也就点击不了隐藏的输入框。除了可以选择使用 Firefox 避开漏洞以外,用户也可以选择手动输入(检查网页源代码也不失为一个方法),或者直接把浏览器的自动填充功能给关掉。

文章转载自 开源中国社区 [http://www.oschina.net]
weixin_34194087
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
浏览器自动填充表单导致网页样式丢失原因分析及解决
09-22
是由于我之前在本机上测试的时候在浏览器保存了这个登陆页面的用户名密码,在打开这个页面的时候chrome自动填充用户名密码,同时用webkit默认样式替代网页样式,把chrome保存的这个网页的用户名密码清掉就可以了
禁用浏览器自动给input填充账号和密码问题总结
li646495946的博客
08-21 897
说明一下问题 最近项目进行安测评,提出来的浏览器自动填充填充账号和密码问题 这个问题应该是中危漏洞吧,但有的测评给化成了高危了 解决方式 1.谷歌浏览器解决方法 设置 autocomplete = “off” 属性 type=“text” 类型 <input type="text" id="username" name="username" autocomplete = "off" class="user-logw" placeholder="用户名"> 属性 type=“passwor
浏览器自动填表安漏洞:查看浏览器保存的密码
Whitesoft 随记
04-03 5794
所有浏览器都说自己很安,加密很到位,能够有效保证帐号密码的安,但事实是否真的如宣传的那样靠谱?
关于浏览器账密自动填充
MCL529的博客
02-25 985
浏览器账号密码自动填充具有以下几个好处: 1.只要在该计算机操作系统该账户下的使用者都可以随意登录该账户用户保存了密码的网站,而不用输入密码,为在线盗号提供了便利,因为账号密码是自动输入的。 2.只要知道该计算机操作系统该账户的登录密码或者账户pin码就可以随意查看该用户浏览器保存的所有网站的密码,同样为盗号提供了便利,因为一码在手,万码在手。 3.如果用户进一步开启了云同步功能,那么用户不用在该计算机上进行操作,而在另外一台计算机上便可以获取到该用户的所有网站密码,为进一步盗号提供了便利。.
不安浏览器密码
LainWith的博客
12-21 574
在网站输入用户名密码的时候,有的网站会做加密,有点则不会
【网络安】Oracle Attack填充提示攻击-渗透测试
baidu_41678158的博客
01-02 229
最近学习了一个shiro的 Critica级漏洞的验证,利用Padding Oracle Vulnerability破解rememberMe Cookie,达到反序列化漏洞的利用,攻击者无需知道rememberMe的加密密钥。明文分组和填充就是Padding Oracle Attack的根源所在,但是这些需要一个前提,那就是应用程序对异常的处理。当提交的加密后的数据中出错误的填充信息时,不够安的应用程序解密时报错,直接抛出“填充错误”异常信息。
关于浏览器自动填充账号和密码引起的Bug
如影随风
07-18 4944
最近在项目中遇到过浏览器自动填充账号和密码引起的Bug。先来说下项目的经过:我的另一位童鞋在做登录模块的时候,登录按钮默认就是禁止点击的状态,如果账号密码都没有输入,那么登录按钮也是处于禁止点击的状态,所以当浏览器保存账号和密码后bug就来了。当进入登录页面后,浏览器自动填充账号密码,然而按钮还是处于禁止点击的状态(实际是可以点击的),但是代码还是做了处理的,当账号和密码输入框的值不为空就会自动解...
【web漏洞百例】4.不安自动完成、未释放的资源
程序猿之洞
04-04 2035
一、不安自动完成 描述 借助表单的自动完成功能,某些浏览器可以在历史记录中保留敏感信息。  举例 启用自动完成功能后,某些浏览器会保留会话中的用户输入,以便随后使用该计算机的用户查看之前提交的信息。  解决方案 对于表单或敏感输入,显式禁用自动完成功能。通过禁用自动完成功能,之前输入的信息不会在用户输入时以明文形 式显示。这也会禁用大多数主要浏览器的“记住密码”功能
解决浏览器自动填充密码的问题
08-30
本篇文章主要介绍了解决浏览器自动填充密码问题的方法。具有很好的参考价值。下面跟着小编一起来看下吧
prevent-autofill.js:尝试阻止浏览器自动填充功能访问表单输入
07-18
尝试阻止浏览器自动填充功能访问表单输入。 专为对抗 Chrome 的自动填充功能而创建。 Chrome 似乎并不关心我在任何类型的地址表单上的“自动完成”设置,无论自动完成属性放在哪个元素上。 唯一的依赖是 jQuery。 ...
Vue+element 解决浏览器自动填充记住的账号密码问题
10-16
我们在做form表单的时候,会发,浏览器自动的将我们之前保存的密码,自动填充到表单中input 为 type="password" 的框中,如何实功能呢,下面小编给大家介绍下,感兴趣的朋友一起看看吧
chrome浏览器当表单自动填充时如何去除浏览器自动添加的默认样式
09-03
很多朋友都遇到这个问题:当使用chrome浏览器表单自动填充时都会自动添加默认的样式,该如何去除默认样式呢?看看小编是怎么去除的,需要的朋友一起学习吧
解决浏览器自动填充密码框的问题
青衫的博客
05-28 9138
今天解决了一个问题,就是万恶的浏览器自动填充密码(ps:在不恰当的地方做了 不恰当的事)解决前的图片:先声明一下:我使用的页面是ftl的静态页面。非html文件。这里先不说废话,先说我搜到的3种方法(js清空值的那种方法不考虑,怕有延迟会造成先有值,然后消失的情况,不友好):1.把input type=”password” 改成 input type=”text” 并在后面加上 onfocus="...
web安:防止浏览器记住或自动填写用户名和密码(表单)的终极解决方案
热门推荐
ltx06的专栏
04-01 3万+
最近项目上要求做到这一点,在网上搜了一圈,发都是不完美的,不兼容部的浏览器,于是只能自己摸索了,最终得出了终极解决方案: 涉及: disabled 或 readonly  display:none;   隐藏用,隐藏后不占位置 visibility:hidden;   隐藏用,隐藏后占原来的位置 position:absolute;z-index:-1
登录时保存用户名密码后新增表单中自动填充bug
GXXxasm的博客
03-26 4609
登录时保存用户名密码后新增表单中自动填充bug 1.问题描述 2.解决思路 1.问题描述 最近在项目中遇到一个问题,使用的谷歌浏览器,登录的时候输入用户名密码,谷歌浏览器会提示是否保存用户名密码,为了方便调试,点击保存: 然后在功能模块中点击新增的时候,用户名密码会自动填充: 断点调试发后台传过来的数据用户名account以及密码pwd的确是为空的: 浏览器在...
浏览器自动填充漏洞,可能泄露你的个人隐私
weixin_33967071的博客
08-09 271
当你在注册新账号,或者填写收货地址时,大堆信息是否让你头疼?所幸的是,大多数浏览器都自带了的自动填充表单的功能,一秒钟就能帮你填好所有的所有输入框。 可是,最近一个芬兰的网页开发者和黑客 Viljami Kuosmanen 发了一个自动填写表单功能重大的潜在安漏洞,他表示诸如 Chrome、Safari 和 Opera 等浏览器,或是 LastPas...
避免浏览器自动填充表单的解决方式
06-09 1404
  以前在做项目的时候遇到过这个问题,当时年少太轻狂,没有想过是为什么会发生这样的问题,只觉得作为一个用户,每次在登录网站的时候很有用,很便捷,甚至觉得这个自动填充功能,嗯, 真棒!但是,这次又遇到了这个问题,我不禁陷入了沉思。。。为什么会有自动填充呢?为什么会变成黄色框框呢?作为一个开发者,在我不需要它自动填充的时候,它真的,很碍事!   于是乎~各种谷歌百度,试了一堆方法,终于让我...
Python_ChatGLM3 series Open Bilingual Chat LLMs 开源双语对话语言模型.zip
最新发布
05-24
Python_ChatGLM3 series Open Bilingual Chat LLMs 开源双语对话语言模型
el-input 浏览器自动填充怎么解决
09-06
在使用Vue框架的el-input组件时,浏览器自动填充可能会造成一些问题。浏览器自动填充浏览器根据用户之前的输入记录和记住密码等信息自动填充输入框内容的功能。但是这个功能也许不符合我们的需求,所以需要解决这个问题。 解决浏览器自动填充的方法有以下几种: 1. 屏蔽自动填充:可以通过设置input标签的autocomplete属性为off来禁止自动填充。 ```html <el-input v-model="inputValue" :autocomplete="'off'" ></el-input> ``` 2. 修改input事件:通过监听input事件,手动更新数据模型中的值,这样可以覆盖浏览器自动填充的内容。 ```html <el-input v-model="inputValue" @input="handleInput" ></el-input> ``` ```javascript methods: { handleInput() { this.inputValue = this.$refs.input.value; // 获取input框的值并更新数据模型 }, }, ``` 3. 利用setTimeout延迟设置值:使用setTimeout可以使得设置值操作在下一次事件循环开始,从而避免被浏览器自动填充的值覆盖。 ```javascript mounted() { setTimeout(() => { this.inputValue = ''; }, 0); }, ``` 4. 结合JavaScript和Vue的解决方案:在mounted钩子函数中使用JavaScript的代码将input框的值清空,并将其焦点移至其他input元素。 ```javascript mounted() { let input = document.getElementById('inputId'); input.value = ''; let otherInput = document.getElementById('otherInputId'); otherInput.focus(); }, ``` 这些方法可以有效解决浏览器自动填充所带来的问题,根据需要选择适合的解决方案即可。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值