怎么知道 网站是否直接明文保存密码_再来谈谈浏览器存密码这件事

最新推荐文章于 2024-06-18 21:02:10 发布
最新推荐文章于 2024-06-18 21:02:10 发布
阅读量274 收藏
点赞数
文章标签: 怎么知道 网站是否直接明文保存密码
a36db4a48866e336cea719598d909701.gif

上周末的时候,小编在家遇到有用户反馈功能使用问题,便借用媳妇的备用电脑测试下新做的密码导入功能,测试需要一份chrome浏览器导出的密码。因为实在懒得从自己电脑里去导出了,就准备把媳妇电脑的浏览器密码导出来测试一下。

于是,我打开她的浏览器(某使用Chrome内核的浏览器),打开 「设置」,在搜索框搜索「密码」,找到里边保存的密码列表,然后准备按照Chrome浏览器一样的操作去导出密码。

77d29f43aa6d26406f80fb21c1840574.png

上图为Chrome浏览器里导出密码的界面

但是,当我找到密码,摆在我眼前的却是这样,没有导出密码的按钮!?

89784cee642f63455900e340a88ceef4.png

一定是版本太老,于是我就给浏览器检查更新,更新到最新版本,打开一看,还是没有...

这时我还发现,不但没有导出,连显示密码都没有,这不科学啊,都是chrome内核的浏览器,你怎么这样优秀!?

3e3c260141a4f7445db4c8ceee478d09.png

人民群众的智慧是伟大的,我肯定不是第一个发现这个问题的,去秘迹搜一下不怕找不到办法。

一搜就发现,已经有很多人发现这个问题了,有知乎大神给的解决方案:

4bdd727a4658931364c1bddeeedb2a69.png

用开发者模式、修改网页编码、还只是在填充框里看见密码,这不科学啊,作为一个业余测试工程师,我这是在我老婆的电脑上,我应该模仿她的操作习惯!浏览器的开发者模式、修改编码这是一个文科生可以理解的概念吗?知乎大神也不行啊。

而且这还不是导出,改完了只能在密码输入框里看见密码,有100条就要去100个网站这么操作。我要不是懒,我才懒得找到这些密码。

既然大神都没有办法,那就去找上帝吧,去浏览器的论坛问问,他们的开发工程师总能有办法吧!

3f4601baa0171c9b380ea7055121fb5f.png b569d5c6510a28e7e1c0eea6f60e7d44.png

上图为工程师的回复

好吧,还以为是程序缺陷,没想到是官方设计!官方设计!官方设计!

这样做也是很有道理的,毕竟,道路千万条,安全第一条。

这种安全为重的设计值得认可,但是不知道后台设计够不够安全?

小编突然觉得充满动力,先不去管导入密码的测试了,要先看看这家浏览器的密码是不是足够安全了。

作为chrome内核的浏览器,虽然界面有很多调整,但后台架构都是和chrome一致的,chrome适合的工具它也一定适合,先去搜索下chrome密码导出工具,还真不少,而且还有开源的产品可以学习。简单的说,chrome就是用户系统密码将用户保存在浏览器的密码加密保存在一个SQLite数据库里,保存在电脑里\Chrome\User Data\Default\Login Data 文件中,导出工具就是对这个文件执行一下win32crypt.CryptUnprotectData函数,调用系统解密就可以直接解密出里面保存的密码。换言之,任何程序里面只要使用解密命令就能用当前系统密码去解密chrome的密码文件,就可以查看到把chrome保存的密码。相比而言,火狐浏览器的设置还是安全一些,保存的密码需要一个单独的密码加密,这样外来程序要访问时必须输入密码,而不是和系统喊一句给我解密就行了。

既然知道chrome的办法,试试管不管用,按照谷歌chrome的目录结构,很自然的找到浏览器里的User Data\Default\文件夹,里面果然有Login Data 文件,开心。

5ec87a712c88f6b3c81236471482b122.png

把这个文件复制到chrome的User Data\Default\里,替换掉chrome的密码保存文件,再执行下密码导出工具,密码列表就导出来了。下图,就是我在浏览器里保存的密码。

80097eeafa7705ba651a3a09765f5d23.png

小编吐槽一句,即使界面设计上没有设计导出按钮,看起来不会泄露,可后台没改还是不行啊!

那难道没有安全的保存浏览器密码的办法吗?

没事,他家不是还有安全浏览器吗(另一个Chrome内核的浏览器),也拿过来试试。

安全浏览器使用单独的插件来保存密码,已经找不到原来的密码管理器操作界面。

b3c5fd63f33d1c5cf3f11e37ff050829.png

界面上没有,去到浏览器的存储目录,也找到不User Data\Default\Login Data文件了,依靠chrome导出工具导出的方案也没戏了。

看来这密码牢牢的留在安全浏览器自己手里,别人是没机会看到了?

思来想去,浏览器密码管理器存储的密码无比安全了,但它还必须提供密码填充功能,按知乎大神的办法,在每个网站的登录框还是能找到密码。虽然自己想看见密码需要用修改网页代码才可以,但是别人密码管理器插件不需要啊,在浏览器里增加一个密码管理器插件,清除浏览器保存的cookie,再打开要登录的网站,在网站点击登录的时候,新来的密码管理器就会弹出提示咨询是否把密码存到它的数据库。这样,只需要挨个网站点登录,密码就可以被“导出”到别的插件里,再从插件里导出和查看了。

67677fbce5db9f8f3bcb59b09c7143c9.png

大功告成,但回头想想,就算浏览器按这个方法去把密码保护的严严实实,密码在填充的时候还是要用明文显示出来,而且浏览器里装过的插件也一样可以看到密码明文。如果上网时稍不注意,在网站里点击下载了什么上网插件,那么以后在浏览器输过的秘密不是都要被别人看上一遍???就算使用了密码管理器,最后密码填充和复制密码的时候,还是一样存在危险。

拿什么保护你,我的密码...

我的电脑安全吗?

出厂时的确很安全,每次有补丁立马升级也会很安全,只安装原厂正规软件也很安全。

但是,我们有几个人是在规范的使用windows?有多少人是用计算机管理员权限在运行?从网上搜索下载软件的时候,有几个是从官网下载的?

这样对比起来,还是秘迹更安全呀!它的保险箱及跨屏登录功能,在每次要登录网站的时候,直接在手机上访问网站登录,输入密码,再把登录好的页面传给电脑浏览器。这样电脑浏览器从头到尾都接触不到密码,也就没有了密码泄露的可能。密码一下就更安全了。

-END-

推荐相关阅读

快去看看你浏览器上存了多少密码!赶紧删掉!#3

如何给自己各种帐号编一个安全又不会忘记的密码?

92b494381b7f1a98ecce63a45180ffdd.png
weixin_39664136
关注
【Android面试八股文】谈谈你对Http的post与get请求区别的理解
字节卷动
06-18 21
当然,HTTP协议的GET和POST请求在Web开发中是最常用的两种方法,它们有着明确的区别和各自的适用场景。
查看密码明文
王同学的博客
05-03 3797
查看密码明文 1、浏览器进入路由,打开WAN口设置页面; 2、Chrome浏览器下,选择带星号的密码栏,右键点击“检查”,打开“审查元素”功能,或者IE8~11下按F12打开“开发人员工具”-“查找”-“单击选择元素”,然后选择带星号的密码栏; 3、找到代码中的type="password"; 4、将password字符改为任何字母(如:type="123456"); 5、原来的带星号密码栏就直接显示密码明文了。 ...
怎么知道 网站是否直接明文保存密码_浏览器保存密码可以明文显示,小心你的密码泄露...
weixin_39663605的博客
12-03 540
如今的电脑浏览器,都有保存密码功能。为了方便用户快速登录,它还会自动填充密码。我们打开登录页面,无需任何输入,直接点击登录按钮就行了。说实话,这个功能真的挺实用的,可以避免繁琐的登录操作。相信大部分小伙伴,都非常喜欢使用它。而且,由于浏览器会将保存密码隐藏加密,所以很多人都比较放心。可惜的是,它并不像表面上看起来那么安全。我们其实只需简单操作,就可以让密码明文显示。以百度网盘为例,如果你上一次登...
怎么知道 网站是否直接明文保存密码_忘记账号密码 浏览器记住了 怎么找回密码?...
weixin_39873191的博客
12-03 225
对于健忘又没有使用保存密码插件的习惯的人来说,忘记密码是经常的情。而大家知道的也就是通过网站的找回密码选项,通过邮箱,手机号,人工等方式找回密码,但是如果是个小网站,没有找回的功能,或者当时是随便注册,自己都忘记了密保邮箱怎么办呢?电脑浏览器记住了密码,自己却忘记了,这里提供一种方法查看密码PS:这种方法可以查看任意在浏览器登入时保存的填表密码,但是并不表示密码是可以登入的。(也就是你后面更改过...
怎么知道 网站是否直接明文保存密码_谈谈密码安全:服务端密码保存
weixin_39642687的博客
11-24 440
现在有越来越多的网络服务,基本都需要注册才能使用,注册需填写账号和密码。账号通常是邮箱或手机号,普通人基本上只有一两个邮箱和手机号,而普通人记得的密码也只是一两个。因此很多人会很自然地在不同的网络服务中使用相同的账号和密码。这样就出现安全隐患。一旦某个服务的账号密码被泄露,其它的服务安全就受到牵连。密码安全,应该分两部分讨论:作为账号系统的设计者,如何对用户负责,更安全地保存密码。作为普通个人,应...
怎么知道 网站是否直接明文保存密码_如何安全的储用户的密码
weixin_39810441的博客
12-02 956
大多数的web开发者都会遇到设计用户账号系统的需求。账号系统最重要的一个方面就是如何保护用户的密码。一些大公司的用户数据库泄露件也时有发生,所以我们必须采取一些措施来保护用户的密码,即使网站被攻破的情况下也不会造成较大的危害。如果你还在储用户密码的MD5,那可真的有点弱了。赶紧来看看这篇文章吧。保护密码最好的的方式就是使用带盐的密码hash(salted password hashing).对...
怎么知道 网站是否直接明文保存密码_吓一跳!快用 Firefox Monitor 检查你的密码是否已经泄漏了?!...
weixin_39640849的博客
12-03 241
很多人都会在不同网站上使用同一个用户名和密码,这样虽然容易记忆,但如果一旦某个网站的账密被泄漏之后,你其他网站上的账号就同时暴露了,非常容易连带被黑的。曾写过关于「建立自己安全好记的密码体系」的文章,如今更加推荐大家使用 1Password 等密码管理神器来保证网站使用不同的密码来杜绝这样的安全隐患。但如果你以前一直用相同的密码,那么赶紧检查下有没泄露了吧?不是我吓唬你,真是不查不知道,查了吓一跳...
基于vue elementu-ui表单验证框架的js工具类之密码、确认密码验证
mt23
10-16 1001
目录常规Element的表单验证关键代码核心代码优化成js工具类引用即可注入校验规则JS代码代码简化最后谈谈这个js放哪里 Vue和Element-UI这两大框架在前端开发中应用已经非常nice了。但是在开发中还是有很多不足之处。以大量的使用基础,来不断的改进吧。 常规Element的表单验证 偷个懒,这里首先去官网看看表单验证的基本用法 https://element.eleme.cn/#/zh-CN/component/form 关键代码 <el-form :model="ruleForm"
2023高薪前端面试题(一、前端基础——HTTP/HTML/浏览器
iaz999的博客
04-29 3217
语义化就是构成HTML结构的标签要有意义。比如有这样的标签:header表示页面头部main表示页面主题footer表示页面底部那么这些标签构成的HTML结构就是有意义的,也是语义化的。​ 如果说页面的头部、主体以及底部都用div来表示,那么他就不是一个语义化的HTML结构了。
dd-wrt无线设置_通过DD-WRT的高级技巧为无线路由器添加Linux功能
cuxiong8996的博客
07-04 7422
DD-WRT是基于Linux的固件,可为低端消费者无线宽带路由器提供涡轮增压功能,将价值70美元的玩具转变为强大的网络动力。 DD-WRT将Linux网络堆栈的所有功能带给这些小型设备:有线和无线路由,防火墙,QoS,DHCP服务器和转发器,RADIUS服务器,OpenVPN,VLAN,局域网唤醒,无线分发系统转发器模式, Kai游戏引擎,WPA2加密和身份验证等(请参阅参考资料 )。 DD-...
【Android面试八股文】谈一谈你对http和https的关系理解
最新发布
字节卷动
06-18 71
HTTP 和 HTTPS 都是互联网通信的基础协议,但 HTTPS 在 HTTP 的基础上增加了重要的安全功能。尽管 HTTPS 在性能上可能略有开销,但其提供的安全保障使其成为现代互联网应用中的首选。随着互联网安全意识的提高,越来越多的网站和服务逐渐从 HTTP 转向 HTTPS。
禁止浏览器自动填写用户名密码
QW3223的博客
06-16 126
原始: <input type="text" id="userName"> <input type="password" id="passWord"> 修改: <input type="text" id="userName"> <input type="password" name="user_passwd...
防止浏览器记住用户名及密码的简单实用方法
wei_jie_zhang的专栏
10-22 3831
很多浏览器都有自动填写功能,我在input上使用了autocomplete="off",但在有的浏览器上还是被记住了用户名跟密码,请问有没有更有效及简便的方法来防止浏览器记住用户名及密码 如何设置能禁止浏览器自动保存表单信息,比如用户名,密码? 现在很多浏览器都有自动填写功能,我在input上使用了autocomplete="off",但在有的浏览器上还是被记住了用户名跟
bat 输入密码_不记得密码了?教你查看设备保存的账号密码,绝对干货
weixin_39615991的博客
11-04 362
你是不是常常忘记自己的密码?不用担心,如果你在浏览器保存密码,那么你就能够直接密码的内容,即使密码浏览器打了星号隐藏也没有问题。但是如果别人使用了你的电脑,就会在被盗号的风险噢,建议不要在非私人电脑上使用保存密码的功能,也不要把私人电脑借给陌生人。接下来一起看下如果查看当前网站保存的账号密码吧。只需要三个步骤哦!如果喜欢的话可以关注小编--流浪资讯,关注私聊获得更多技巧。我们就以 QQ ...
web漏洞-用户凭据明文传输
qq_35578446的博客
06-13 3707
当攻击者获取到这些数据之后,就可以用这些信息以合法用户的身份进入到应用系统中——甚至可能进入到应用系统后台中,一旦进入到应用系统中那么就可以获取更多的敏感数据,以及更有机会发现更多的漏洞。...
https原理
chivalry
08-17 8188
http://www.cnblogs.com/zhuqil/archive/2012/07/23/2604572.html 我们都知道HTTPS能够加密信息,以免敏感信息被第三方获取。所以很多银行网站或电子邮箱等等安全级别较高的服务都会采用HTTPS协议。 HTTPS简介 HTTPS其实是有两部分组成:HTTP + SSL / TLS,也就是在HTTP上又加了一层处理加密信息的模块。
网站密码明文传输解决方案js+java
热门推荐
六年级的叔叔
03-07 1万+
解决密码明文传输的方案,基本有两种解决方案 1,将项目网站全站升级为https协议(如果要更谨慎,还需要加密)。 2,将密码进行加密后,在后台解密。 因项目升级https时间周期太长。将暂时替代方案改为RSA加密解密方式: 最简单的方案,前端加密,后端解密。未涉及到私钥签名等验证。但工具类内提供方法,相信各位一看即懂。 1,前端js引入jsencrypt.js(官网有下载资源。可免费下载...
浏览器显示已保存密码明文
曼曼的博客
11-26 1320
前提是浏览器在此之前已经“记住密码” 打开到登陆界面后,按 F12 弹出如下页面 选中左上角的框(如下图红框) 或 shift + ctrl +c,然后用鼠标选中登陆界面的密码栏,则脚本页也同时定位到密码编辑处(如下第二张图) 将脚本定位处的 type="password"更改为 type=“text” 更改完回车后返回登陆页面即可看到明文密码 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值