2017年1月12日星期四

小心,浏览器自动填信息也可能泄密

浏览器的自动填充(autofill)密码功能是个相当便利的工具。当用户登录邮箱、新浪微博网页时,这项功能可以免去记录帐号、密码的步骤,给用户节省下不少时间。

主流的浏览器 Chrome、Safari 等都支持这项功能,但它的安全性在过去近 10 年来其实都在受到质疑,自动填写的危险性在于它可能被黑客利用,盗取存储的个人信息,包括信用卡、住址、帐号密码等。


这件事最近被芬兰网页开发者 Viljami Kuosmanen 再次提出,他解释了黑客可能的攻击手段。由于多数自动填充功能一次性会将网页上的空白文本框填满,并且提供过多的用户个人信息。

黑客可以在流氓网站上将部分文本框隐藏,设置为用户不可见,从而盗取相应的信息。

这张 Gif 图可能比较好地解释了这背后技术,这位开发者输入了名字和邮箱,但让网页悄悄索取了你保存在自动填充里的更多个人信息。

右下方框出来的部分就是获取的用户信息,还包括了他所在公司、手机号等更多的信息。


Viljami Kuosmanen 称,包括 Chorme、Safari,以及那些密码保存服务在浏览器上提供的扩展工具版本,例如 LastPass、1Password 等,都存在同样的问题,基本上也都是默认开启自动填充。Firefox 据称是相对安全的浏览器,只因为它不具备填充多个文本框的能力。

科技博客 Gizmodo 试图联系 Google 和苹果两家公司,但暂时还没有收到回复。1Password 等公司称,他们正在尝试解决,还谈了用户对浏览网页信任度的问题。不过,这件事情被发现差不多有 10 年历史,科技公司即便现在回应也不会对问题有太好的解决方案。

自动填充的危险性最早在网上引起大量讨论的,可能是在 2006 年。Safari 浏览器相应的问题,在 2009 年被瑞士开发者 Patrice Neff 提出,Safari 浏览器直接调用了电脑上存储的用户住址信息。但苹果对此没有做出更多的反馈。

事实上,即便有危险性,用户也很难离开这项功能。“(解决方案就是关闭自动填充)这是对的,但谁会想要关闭自动填充?”Enderle Group 公司的首席分析师 Rob Enderle 称,“这是一个很方便的功能。”开发者 Viljami Kuosmanen 在 Twitter 上也回复称,他认为这是功能设计考虑不周。

当然,普通用户仍然可以对这些浏览器存储的信息进行管理。在浏览器的设置里选择关闭自动填充,或者是选择删除信用卡、住址等敏感信息,另外需要提醒的是,用户也要小心浏览的网页。

您可能感兴趣:

Airbnb 目前最大一笔投资,投给了一个餐厅订座 app

智能手表不好卖,又一家出名的创业公司被收购了

雅虎改名,它如今每个用户的价值不到6美元

如何在苹果手机iOS10系统上配置中国大陆VPN解锁乐视视频观看《孤芳不自赏》

2016年最好的翻墙VPN推荐



没有评论:

发表评论