This topic created in 3039 days ago, the information mentioned may be changed or developed.
今天看到这个消息,说是广告商正在通过使用不可见的 form 来捕捉密码管理工具自动填充的数据。
本人还是挺依赖这个功能的,看来以后还是不要再用了。
 |
1
wtbhk Jan 2, 2018 via Android  1
密码填充软件首先判断域名的啊
|
 |
3
Lothar Jan 2, 2018
细想似乎真有可行性..
|
 |
4
xenme Jan 2, 2018
1. block 了各种广告以及追踪的请求和域名
2. 1password,手动 fill 3. 每家都是独立的,发现一家干掉一家就好了,没什么大不了的。 |
 |
5
hugee Jan 2, 2018 via Android
一直对自动忌惮
|
 |
6
tony1016 Jan 2, 2018
用户名可以抓,密码怎么抓呢??
|
 |
7
coolcoffee Jan 2, 2018
这个在 lastpass 上出现过一次可以伪造域名导致扩展自动填充的, 但重要账户都是有二次验证了, 密码库被爆了也没太大关系
|
 |
9
700388 Jan 2, 2018
没什么用的,自动填充,会判断网站才显示出来。网站不对,自动填充根本就不显示。随便伪造的网站,那倒是可以捕获密码,但是,随便网站密码的价值不大的话,密码也毫无用。
只要每个账户,密码不同,就算他拿到密码,也是个低权密码。 |
 |
10
lance6716276 Jan 2, 2018
我记得是 chrome 对 https 页面不会自动填充,需要手动用鼠标选那个候选项。http 页面会自动填充,但是 http 问题多的是呢,不差自动填充这一点
|
 |
11
Quaintjade Jan 2, 2018
很早就在担心这种问题,终于有人这么做了。
|
 |
12
freewarcraft Jan 2, 2018
在 edge 上用 1password,电脑从休眠中恢复后 1p 插件都无法启动,根本不担心自动填充的问题。。。
|
 |
13
AEANWspPmj3FUhDc Jan 2, 2018
keepass 的自动填充就完全没有这种顾虑,推荐一下
|
 |
14
alexyangjie Jan 2, 2018 2
这个四年多前就有人讨论过。当时写了一个 demo page, 刚才用 lastpass 最新版测试,依然中招。只要打开 auto fill 就会被脚本劫持。https://www.alexyang.me/demo/
|
 |
15
Xrong Jan 2, 2018
@alexyangjie 1Password 测试中招
|
 |
16
peesefoo Jan 2, 2018 via Android
待会测试一下 enpass
|
 |
17
tghgffdgd Jan 2, 2018
|
 |
18
yongyuhi Jan 2, 2018 via Android
最大的广告商就是谷歌啊
|
 |
19
paradoxs Jan 2, 2018
@alexyangjie 这个是同域名的,不算是中招了吧?
|
|
20
alexyangjie Jan 2, 2018
@tghgffdgd #17 所以广告商的危害很大,因为广告商就是跨域的。
|
|
21
alexyangjie Jan 2, 2018
@paradoxs #19 见楼上
|
 |
22
yu099 Jan 2, 2018 via Android
@alexyangjie chrome 自动填充没问题诶
|
Select Language