Opera 浏览器 PC 版,换用 Chromium 内核后,竟然可以不经用户明文许可直接读取 Chrome 保存的密码……
realpg ·PRO
这是一个创建于 2444 天前的主题,其中的信息可能已经有所发展或是发生改变。
PC 装了个 Opear 浏览器,就是为了隔离账户。
结果,Opera 不经我许可,直接可以读取 Chrome 保存的密码(主存储于 google 账户)……
Opera 未登录 google 账户,opera 账户,貌似是直接去读 Chrome 的文件,完全未经过我的许可……
这波操作实在是厉害至极
 |
1
fuchaofather 2019-02-20 17:35:03 +08:00
是的, 我也发现了
|
 |
2
envylee 2019-02-20 18:52:14 +08:00
对啊,这个只能怪 chrome,他们的密码保存机制本来就是在本地明文存储的
|
 |
4
invalidtoken 2019-02-20 19:11:22 +08:00
|
 |
5
realpg OP PRO @invalidtoken #4
Chrome is not my default browser. |
 |
7
Imr 2019-02-20 20:53:13 +08:00 via iPhone  3
win 版 chrome 密码是存在 win 系统凭证里面的,只要有当前账号权限就可以访问到,不涉及到连接 chrome
|
|
9
realpg OP PRO |
 |
10
cwcauc 2019-02-20 20:59:37 +08:00 via iPhone
那要是一众国产软件想调取就可以直接调取吗……
|
 |
11
ysc3839 2019-02-20 21:46:38 +08:00 via Android
Chrome 保存的密码并没有引入外部密钥来加密,也就是说要不然没加密,要不然密钥存在本地。
|
 |
12
gamexg 2019-02-20 21:57:22 +08:00
@envylee #2 chrome 密码是加密保存的,但是是直接使用的 windows 加密方案。
也就是当前 windows 帐号下的程序都可以解密密码,其他用户就无法解密。 |
 |
13
msg7086 2019-02-20 23:48:40 +08:00 2
@ysc3839 Chrome 的密钥绑定到当前用户 SID。复制到别的电脑或者用别的 SID 是打不开的。
同理备份 Chrome 的 Cookie 需要连带用户 SID 一起备份,到新电脑下再导入合并到新 SID 下。 |
 |
14
Les1ie 2019-02-20 23:59:34 +08:00
chrome 的密码时可以直接读出来的,自己以前写过脚本试过,网上也有很多的脚本
eg: https://github.com/hassaanaliw/chromepass/blob/master/chromepass.py |
|
15
Les1ie 2019-02-21 00:01:14 +08:00
so, 解决方案是不用 chrome 保存重要的密码,重要密码存密码管理工具或者大脑里面
|
 |
17
Osk 2019-02-21 00:04:07 +08:00
可惜了,放弃自己的内核,当年的 opera 真的是很喜欢的浏览器。
更不用说现在被某司收购。 不好意思,和主题无关,感叹下。。。 |
 |
18
chocolatesir 2019-02-21 00:08:28 +08:00 via Android
yandex 也是这样的
|
 |
19
geelaw 2019-02-21 00:20:27 +08:00
题外:正确隔离的方式是建立另一个 Windows 用户,然后给那个用户安装你需要隔离的软件。
|
 |
21
xiaolanger 2019-02-21 04:04:55 +08:00
@Osk #17 当年的 Opera 速度是真快啊,就是丑了点。。。
|
 |
22
580a388da131 2019-02-21 04:21:05 +08:00 via iPhone 1
Chrome 用系统账户加密密码然后存放在本地的一个 sqllite 数据库文件里,只要有账户授权,任何程序都能读取。这个问题已经很多年了,Chrome 曾经回应说主密码的安全是虚幻的,重要的是确保系统安全……
|
|
23
580a388da131 2019-02-21 04:24:10 +08:00 via iPhone
😯,看漏了,问题应该是 Opera 默认隐藏勾选……
|
|
24
envylee 2019-02-21 07:43:31 +08:00
@realpg 麻烦你先摆正自己的立场和我的位置,这 G8 玩意不是我做的;
本来还想用你的逻辑来类比一下让你知道自己这句回复有多搞笑,但是我尝试了一分钟之后以失败告终,果然你们这种喷都不会喷子我是共情不来的。 |
 |
26
DonaidTrump 2019-02-21 08:06:18 +08:00
Opera 现在是 360 的,所以做这些就不奇怪了
|
 |
27
onionnews 2019-02-21 08:34:22 +08:00 via Android
如果任意一个软件都能获取密码的话,也就是说恶意软件也可以拿了?
|
 |
29
7colcor 2019-02-21 09:50:33 +08:00
你自己去查 chrome 密码,都需要输入 win 的账号密码,才能看。
|
 |
30
whileFalse 2019-02-21 10:01:34 +08:00
楼主要不要反过来试试,在 Opera 里保存一个密码,在 Chrome 里面能不能看到。
|
 |
31
shuax 2019-02-21 10:30:48 +08:00
推荐一个软件 ChromePass
|
 |
32
mytry 2019-02-21 10:33:28 +08:00
🎵外国人把那浏览器,叫做北京 Opera
|
 |
34
summerluqman 2019-02-21 10:48:32 +08:00 via iPhone
这个也调用 chrone 内核了?大势所趋啊,edge 怎么没什么动静
|
 |
35
SuperMild 2019-02-21 10:56:22 +08:00
不要用 opera,用 Vivaldi,据说后者才是原班人马做的
|
 |
36
bxb100 2019-02-21 11:02:12 +08:00
FireFox 和 Edge 也可以直接读取
|
 |
38
huahuajun9527 2019-02-21 11:08:59 +08:00
Elcomsoft Internet Password Breaker 浏览器密码提取工具
|
 |
39
dalieba 2019-02-21 11:44:51 +08:00 via Android
Opera 现在算半个国产软件了吧
|
 |
40
hundan 2019-02-21 11:50:49 +08:00 via Android
楼主的意思我看懂了 Opera 技术上可以读 但是原则上不该直接去读 至少先问一下……
|
 |
44
AV1 2019-02-21 13:53:08 +08:00
用 portable 版,谁都找不到藏在哪里,除非全盘搜索
|
 |
46
yiyi11 2019-02-21 18:11:32 +08:00 via Android
我用 lastpass,然后配合浏览器插件,每次打开浏览器查密码要先输 lastpass,虽然麻烦了点,但安全性大大提高。
|
Select Language