V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
爱意满满的作品展示区。
maggch97
V2EX  ›  分享创造

我做了一个插件,让你远离窃取 Chrome 明文密码的恶意软件

  •  
  •   maggch97 · 183 天前 · 3498 次点击
    这是一个创建于 183 天前的主题,其中的信息可能已经有所发展或是发生改变。
    Chrome 保存的密码并不安全,非常容易被恶意软件窃取。已经是一个老生常谈的话题。

    我给自己做了一个插件,防止我的密码在我不知情的情况下全部泄露。


    原理很简单,点击密码输入框时,会弹出一个二维码。用 iPhone 扫描,在 Safari 中打开二维码网址即可通过手机输入密码。




    这样,所有的密码都可以随机生成后保存在世界上最安全的系统 iOS 上。
    iCloud 也有 Windows App, 但是从我的角度,我觉得这个 App 比 Chrome 更不安全。如果系统环境本身不安全,客户端的所有加密都是徒劳,在 Windows 上用 iCloud 相当于把所有重要数据全部暴露在恶意软件面前。

    安装方法: tampermonkey 安装脚本 https://github.com/SuperSafeMessage/PasswordFromPhone/raw/main/PasswordFromPhone.user.js

    代码仓库: https://github.com/SuperSafeMessage/PasswordFromPhone


    注意:
    恶意软件依然可以在输入的时候窃取密码,依然可以在登陆后窃取 cookie 。
    重要的操作还是在世界上最安全的 iOS 系统上用世界上最安全的 Safari 浏览器吧
    第 1 条附言  ·  183 天前
    后续计划
    1. 增加一个登录页面 url 的历史记录,可以了解哪些账号可能存在风险
    第 2 条附言  ·  182 天前
    如果你觉得 Windows 和 iOS 一样安全或者更安全,iOS 密码管理器和 Chrome 的管理器一样不安全

    我建议你把帖子关掉
    第 3 条附言  ·  182 天前
    如果看不懂这个插件为什么比密码库存在 Windows 更安全的人,推荐你关掉帖子
    第 4 条附言  ·  180 天前
    如果你没有 iPhone ,请直接关掉这个帖子。因为大概率安全对你不重要
    37 条回复    2024-05-28 16:21:42 +08:00
    X9reZZIL4Gk0y15g
        1
    X9reZZIL4Gk0y15g  
       183 天前
    感谢你的开发,感谢你为安全的贡献
    drymonfidelia
        2
    drymonfidelia  
       183 天前   ❤️ 2
    你也知道 “如果系统环境本身不安全,客户端的所有加密都是徒劳” “恶意软件依然可以在输入的时候窃取密码,依然可以在登陆后窃取 cookie”,那你做的这个软件解决了什么安全问题?
    maggch97
        3
    maggch97  
    OP
       183 天前 via iPhone
    回复#2, 可控的泄漏和不可控的泄漏是一样的吗

    目的就是在不安全的环境里登陆一些不重要的网站,我都写明白了,重要的账号肯定还是要在 iOS 里操作
    Biggoldfish
        4
    Biggoldfish  
       182 天前 via Android
    "Chrome 保存的密码并不安全,非常容易被恶意软件窃取"

    "在 Windows 上用 iCloud 相当于把所有重要数据全部暴露在恶意软件面前"

    "世界上最安全的 iOS 系统上用世界上最安全的 Safari 浏览器吧"

    甚至分不清是不是在反串
    blankmiss
        5
    blankmiss  
       182 天前
    Safari 能用 ?
    neptuno
        6
    neptuno  
       182 天前   ❤️ 3
    所有数据都会经过 https://password-from-phone-proxy.maggch.workers.dev ,万一哪天你服务器被黑了或者仓库被黑了或者插件把公钥上传了,我输入的密码不都被记录了。
    forty
        7
    forty  
       182 天前   ❤️ 1
    你没说具体原理,以及防哪种窃取,你是防那种监听键盘或剪贴板的吗?

    我个人习惯,是挺烦的那些有密码却还要强制扫码登录的系统,虽然不是每次都要扫,但也嫌麻烦。你这等于说每次登录网站都要扫码。

    推荐你使用密码辅助插件,比如 LastPass 之类。

    chrome 可比 Safari 安全太多了。
    RouJiANG14
        8
    RouJiANG14  
       182 天前
    保存在世界上最安全的系统 iOS 上🙂🙂
    maggch97
        9
    maggch97  
    OP
       182 天前 via iPhone
    @neptuno 。。。
    neptuno
        10
    neptuno  
       182 天前
    @maggch97 #9 所以总结:还不如原来的系统让人放心。
    maggch97
        11
    maggch97  
    OP
       182 天前 via iPhone
    @neptuno 就如你所说,我插件会上传公钥,

    对的,是的。太危险了,居然会泄漏公钥

    请 block 我
    Greenm
        12
    Greenm  
       182 天前
    将一个鸡蛋从一个木头篮子放在另外一个玻璃篮子是吧?

    我既不相信 iOS ,也不相信 windows 和 chrome ,更不相信你,那我为什么不用有审计开源的密码管理器呢?
    neptuno
        13
    neptuno  
       182 天前
    @maggch97 #11 写错了,我的意思是如果上传了我的私钥,那服务器都能解密了。另外我说的前提是你的服务器、插件代码被黑客窃取,并不是你本意。你也无法保证服务器不被黑
    mdgwmt0
        14
    mdgwmt0  
       182 天前 via iPhone
    感谢!
    idealhs
        15
    idealhs  
       182 天前
    Man!
    bzj
        16
    bzj  
       182 天前
    如果连 chrome 我都不信,那我要怎么相信你呢
    drymonfidelia
        17
    drymonfidelia  
       182 天前 via iPhone
    @maggch97 都不重要了,为什么我不直接输入密码?
    ray2023
        18
    ray2023  
       182 天前
    建议使用验证码登录 hh
    KgM4gLtF0shViDH3
        19
    KgM4gLtF0shViDH3  
       182 天前
    笑死,为啥不用 bitwarden ,1password🤣
    maggch97
        20
    maggch97  
    OP
       182 天前 via iPhone
    @bestkayle 笑死,Windows 上的那些所谓加密的密码管理器能在系统不安全的情况下能保持安全吗?这点常识都不知道别来评论了
    wzwzwwzw
        21
    wzwzwwzw  
       182 天前
    滥用"最"字不是好习惯啊,iOS 自己说这种话都沾点违反广告法
    WizardLeo
        22
    WizardLeo  
       182 天前
    不信任把密码保护当饭碗的公司,不信任无数人审计过代码的开源软件,反而信任一个把自己的密码上传到个人部署的第三方仓库中转的软件。
    ios 很安全?那想必 ios 一定没有任何取证软件吧,系统越狱也是从虚空中诞生,反正他就绝对不可能被外部攻破。
    yuhaofe
        23
    yuhaofe  
       182 天前
    Windows 相对其他系统风险的确更大,更容易碰到恶意软件木马等,我的 Edge 保存的 300 多个随机密码都泄露了,虽然说根本上应该是自己运行了不安全的软件或者扩展导致的。
    不过其实 passkey 或者硬件密钥更符合你这种需求,根本都不用密码了,设备支持的好的话可以在 windows 上通过蓝牙调用手机的 passkey ,就是网站支持的太少了。
    Wy4q3489O1z996QO
        24
    Wy4q3489O1z996QO  
       182 天前
    所以如果我是恶意插件在你花里花哨的任何方式的输入完再获取你输入到文本框的密码不行吗?
    P.S 如果你发帖且不接受别人的质疑,请关闭 v2ex😄
    Hawthorne
        25
    Hawthorne  
       182 天前
    你猜我为什么要让浏览器“记住密码”?
    maggch97
        26
    maggch97  
    OP
       182 天前
    @romotc 没看见我说什么吗,你的密码从 iOS 的密码管理器输入到 Safari 那一刻就是不安全的。你要是用这个软件输入银行密码,谁也救不了你。

    在一个不安全的系统上,做一个绝对安全的插件,软件,抱歉我没这个能力

    没有对应的 Security Practices ,iOS 也能被你降级越狱玩成漏洞百出的

    质疑前提是先提高一下自己的水平

    @yuhaofe 是的,passkey 是最优解,但是大部分小的,不重要的网站都没有这个功能。所以我只能做一个类似的解决这个问题。祝楼上质疑的人永远碰不到你遇到的恶意软件。
    maggch97
        27
    maggch97  
    OP
       182 天前
    @maggch97 类似指的是将密码保存在手机上,避免一次泄露所有密码。
    ajan
        28
    ajan  
       181 天前
    Chrome: 还有我不知道的? :doge
    sashit48bast
        29
    sashit48bast  
       181 天前 via Android
    @maggch97
    1. 密码安全不等于系统安全,“系统环境本身不安全,客户端的所有加密都是徒劳”这句话就相当无力,各种开闭源、本地或云的跨平台加密工具 LastPass 、Enpass 、Keepass 等对在密码保存及输入到浏览器的加密保护远胜常规密码管理器,在各种攻防演练中都有足量测试,不是你一句话就能否定的;仅对 Chrome ,Edge ,iCloud 这些而言,尚算认可
    2.“这个插件为什么比密码库存在 Windows 更安全”,在关掉帖子前我想反驳几下。1 中质疑的点不必重复,你的密码保护手段主要在存储方面,在输入时安全性、便捷性反而大加削弱,私人服务器暴露导致的各种黑入、渗透、攻击怎么防范,在扩展上加入混淆
    sashit48bast
        30
    sashit48bast  
       181 天前
    注入如何解决?“Windows 上的那些所谓加密的密码管理器能在系统不安全的情况下能保持安全吗?”专业加密工具本地保存会比 iCloud 或者 Safari 差?后者各种功能交互、权限越位带来的 day0 漏洞年年层出不穷,没比 Chrome 好哪去;更何况前者都有专业的浏览器扩展、密流传输、年年更迭的最新加密手段,这难道不比你的程序更能在系统不安全的情况下能保持安全吗?密码保存安全性比不过、输入安全性更是被完虐,不知道你说出这句话的勇气在哪?
    sashit48bast
        31
    sashit48bast  
       181 天前
    3.其他含”最“字的言论懒得打字了,交给 GPT4 ,https://chatgpt.com/share/e91144ba-6a02-4a15-bc46-eb51788f8e93
    charley008
        32
    charley008  
       181 天前
    @bestkayle 这样没有 b 格。要用 iphone 扫一下才显出高端
    maggch97
        33
    maggch97  
    OP
       180 天前 via iPhone
    @sashit48bast 我懒得骂你,lastpass cannot be safe if the system is not safe 。这是官方的回复,其次这是常识。

    我本来就没想解决密码输入后的安全,因为就是无解。

    还发个 gpt 答案,iOS 最近几个版本有在生命周期有被越狱吗,拿一堆 root 权限随便给的系统对标 iOS 真是笑死人了。

    写了一大堆废话真是幸苦你了
    maggch97
        34
    maggch97  
    OP
       180 天前 via iPhone
    @sashit48bast 问个问题,你有没有 iPhone 啊?没有 iPhone 请不要给我谈论安全。
    mirtle
        35
    mirtle  
       180 天前 via iPhone
    给你五个铜币
    alex177027
        36
    alex177027  
       179 天前   ❤️ 1
    所以你还是用的还是国行 iphone
    kyuuseiryuu
        37
    kyuuseiryuu  
       177 天前
    看了下代码,有点意思。
    主要就是浏览器端生成密钥对,拿公钥作为识别移动端和桌面端的 ID 。
    公钥通过二维码带到移动端。
    移动端将公钥和公钥加密后的密文发送给服务器
    服务器通过公钥找到对应的桌面端,将加密文本发送给桌面端有桌面端生成的私钥解密填充。

    也许楼主把帖子标题改成《一种跨设备信息加密传输的方案》会更好一点。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1018 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 19:47 · PVG 03:47 · LAX 11:47 · JFK 14:47
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.