这是一个创建于 2888 天前的主题,其中的信息可能已经有所发展或是发生改变。
今天看到这个消息,说是广告商正在通过使用不可见的 form 来捕捉密码管理工具自动填充的数据。
本人还是挺依赖这个功能的,看来以后还是不要再用了。
 | 1 wtbhk 2018-01-02 12:37:14 +08:00 via Android  1 密码填充软件首先判断域名的啊 |
 | 3 Lothar 2018-01-02 12:49:51 +08:00 细想似乎真有可行性.. |
 | 4 xenme 2018-01-02 12:50:52 +08:00 1. block 了各种广告以及追踪的请求和域名 2. 1password,手动 fill 3. 每家都是独立的,发现一家干掉一家就好了,没什么大不了的。 |
 | 5 hugee 2018-01-02 12:53:06 +08:00 via Android 一直对自动忌惮 |
 | 6 tony1016 2018-01-02 13:06:29 +08:00 用户名可以抓,密码怎么抓呢?? |
 | 7 coolcoffee 2018-01-02 13:11:23 +08:00 这个在 lastpass 上出现过一次可以伪造域名导致扩展自动填充的, 但重要账户都是有二次验证了, 密码库被爆了也没太大关系 |
 | 8 ligyxy 2018-01-02 13:12:03 +08:00 |
 | 9 700388 2018-01-02 15:00:54 +08:00 没什么用的,自动填充,会判断网站才显示出来。网站不对,自动填充根本就不显示。随便伪造的网站,那倒是可以捕获密码,但是,随便网站密码的价值不大的话,密码也毫无用。 只要每个账户,密码不同,就算他拿到密码,也是个低权密码。 |
 | 10 lance6716276 2018-01-02 15:10:11 +08:00 我记得是 chrome 对 https 页面不会自动填充,需要手动用鼠标选那个候选项。http 页面会自动填充,但是 http 问题多的是呢,不差自动填充这一点 |
 | 11 Quaintjade 2018-01-02 15:28:20 +08:00 很早就在担心这种问题,终于有人这么做了。 |
 | 12 freewarcraft 2018-01-02 16:54:06 +08:00 在 edge 上用 1password,电脑从休眠中恢复后 1p 插件都无法启动,根本不担心自动填充的问题。。。 |
 | 13 AEANWspPmj3FUhDc 2018-01-02 17:14:07 +08:00 keepass 的自动填充就完全没有这种顾虑,推荐一下 |
 | 14 alexyangjie 2018-01-02 17:26:48 +08:00 2 这个四年多前就有人讨论过。当时写了一个 demo page, 刚才用 lastpass 最新版测试,依然中招。只要打开 auto fill 就会被脚本劫持。https://www.alexyang.me/demo/ |
 | 15 Xrong 2018-01-02 17:48:07 +08:00 @alexyangjie 1Password 测试中招 |
 | 16 peesefoo 2018-01-02 19:12:19 +08:00 via Android 待会测试一下 enpass |
 | 17 tghgffdgd 2018-01-02 19:29:21 +08:00 |
 | 18 yongyuhi 2018-01-02 19:31:02 +08:00 via Android 最大的广告商就是谷歌啊 |
 | 19 paradoxs 2018-01-02 19:32:24 +08:00 @alexyangjie 这个是同域名的,不算是中招了吧? |
| 20 alexyangjie 2018-01-02 20:10:14 +08:00 @tghgffdgd #17 所以广告商的危害很大,因为广告商就是跨域的。 |
| 21 alexyangjie 2018-01-02 20:10:27 +08:00 @paradoxs #19 见楼上 |
 | 22 yu099 2018-01-02 20:34:06 +08:00 via Android @alexyangjie chrome 自动填充没问题诶 |
Select Language