Opera 浏览器 PC 版,换用 Chromium 内核后,竟然可以不经用户明文许可直接读取 Chrome 保存的密码……
realpg · realpg · 2019-02-20 17:19:18 +08:00 · 5856 次点击这是一个创建于 2102 天前的主题,其中的信息可能已经有所发展或是发生改变。
PC 装了个 Opear 浏览器,就是为了隔离账户。
结果,Opera 不经我许可,直接可以读取 Chrome 保存的密码(主存储于 google 账户)……
Opera 未登录 google 账户,opera 账户,貌似是直接去读 Chrome 的文件,完全未经过我的许可……
这波操作实在是厉害至极
 |
1
fuchaofather 2019-02-20 17:35:03 +08:00
是的, 我也发现了
|
 |
2
envylee 2019-02-20 18:52:14 +08:00
对啊,这个只能怪 chrome,他们的密码保存机制本来就是在本地明文存储的
|
 |
4
invalidtoken 2019-02-20 19:11:22 +08:00
|
 |
5
realpg OP @invalidtoken #4
Chrome is not my default browser. |
 |
7
Imr 2019-02-20 20:53:13 +08:00 via iPhone  3
win 版 chrome 密码是存在 win 系统凭证里面的,只要有当前账号权限就可以访问到,不涉及到连接 chrome
|
|
9
realpg OP |
 |
10
cwcauc 2019-02-20 20:59:37 +08:00 via iPhone
那要是一众国产软件想调取就可以直接调取吗……
|
 |
11
ysc3839 2019-02-20 21:46:38 +08:00 via Android
Chrome 保存的密码并没有引入外部密钥来加密,也就是说要不然没加密,要不然密钥存在本地。
|
 |
12
gamexg 2019-02-20 21:57:22 +08:00
@envylee #2 chrome 密码是加密保存的,但是是直接使用的 windows 加密方案。
也就是当前 windows 帐号下的程序都可以解密密码,其他用户就无法解密。 |
 |
13
msg7086 2019-02-20 23:48:40 +08:00 2
@ysc3839 Chrome 的密钥绑定到当前用户 SID。复制到别的电脑或者用别的 SID 是打不开的。
同理备份 Chrome 的 Cookie 需要连带用户 SID 一起备份,到新电脑下再导入合并到新 SID 下。 |
 |
14
Les1ie 2019-02-20 23:59:34 +08:00
chrome 的密码时可以直接读出来的,自己以前写过脚本试过,网上也有很多的脚本
eg: https://github.com/hassaanaliw/chromepass/blob/master/chromepass.py |
|
15
Les1ie 2019-02-21 00:01:14 +08:00
so, 解决方案是不用 chrome 保存重要的密码,重要密码存密码管理工具或者大脑里面
|
 |
17
Osk 2019-02-21 00:04:07 +08:00
可惜了,放弃自己的内核,当年的 opera 真的是很喜欢的浏览器。
更不用说现在被某司收购。 不好意思,和主题无关,感叹下。。。 |
 |
18
chocolatesir 2019-02-21 00:08:28 +08:00 via Android
yandex 也是这样的
|
 |
19
geelaw 2019-02-21 00:20:27 +08:00
题外:正确隔离的方式是建立另一个 Windows 用户,然后给那个用户安装你需要隔离的软件。
|
 |
21
xiaolanger 2019-02-21 04:04:55 +08:00
@Osk #17 当年的 Opera 速度是真快啊,就是丑了点。。。
|
 |
22
580a388da131 2019-02-21 04:21:05 +08:00 via iPhone 1
Chrome 用系统账户加密密码然后存放在本地的一个 sqllite 数据库文件里,只要有账户授权,任何程序都能读取。这个问题已经很多年了,Chrome 曾经回应说主密码的安全是虚幻的,重要的是确保系统安全……
|
|
23
580a388da131 2019-02-21 04:24:10 +08:00 via iPhone
😯,看漏了,问题应该是 Opera 默认隐藏勾选……
|
|
24
envylee 2019-02-21 07:43:31 +08:00
@realpg 麻烦你先摆正自己的立场和我的位置,这 G8 玩意不是我做的;
本来还想用你的逻辑来类比一下让你知道自己这句回复有多搞笑,但是我尝试了一分钟之后以失败告终,果然你们这种喷都不会喷子我是共情不来的。 |
 |
26
tulongtou 2019-02-21 08:06:18 +08:00
Opera 现在是 360 的,所以做这些就不奇怪了
|
 |
27
onionnews 2019-02-21 08:34:22 +08:00 via Android
如果任意一个软件都能获取密码的话,也就是说恶意软件也可以拿了?
|
 |
29
7colcor 2019-02-21 09:50:33 +08:00
你自己去查 chrome 密码,都需要输入 win 的账号密码,才能看。
|
 |
30
whileFalse 2019-02-21 10:01:34 +08:00
楼主要不要反过来试试,在 Opera 里保存一个密码,在 Chrome 里面能不能看到。
|
 |
31
shuax 2019-02-21 10:30:48 +08:00
推荐一个软件 ChromePass
|
 |
32
mytry 2019-02-21 10:33:28 +08:00
🎵外国人把那浏览器,叫做北京 Opera
|
 |
34
summerluqman 2019-02-21 10:48:32 +08:00 via iPhone
这个也调用 chrone 内核了?大势所趋啊,edge 怎么没什么动静
|
 |
35
SuperMild 2019-02-21 10:56:22 +08:00
不要用 opera,用 Vivaldi,据说后者才是原班人马做的
|
 |
36
bxb100 2019-02-21 11:02:12 +08:00
FireFox 和 Edge 也可以直接读取
|
 |
38
huahuajun9527 2019-02-21 11:08:59 +08:00
Elcomsoft Internet Password Breaker 浏览器密码提取工具
|
 |
39
dalieba 2019-02-21 11:44:51 +08:00 via Android
Opera 现在算半个国产软件了吧
|
 |
40
hundan 2019-02-21 11:50:49 +08:00 via Android
楼主的意思我看懂了 Opera 技术上可以读 但是原则上不该直接去读 至少先问一下……
|
 |
44
DOLLOR 2019-02-21 13:53:08 +08:00
用 portable 版,谁都找不到藏在哪里,除非全盘搜索
|
 |
46
yiyi11 2019-02-21 18:11:32 +08:00 via Android
我用 lastpass,然后配合浏览器插件,每次打开浏览器查密码要先输 lastpass,虽然麻烦了点,但安全性大大提高。
|
Select Language