自动完成的安全风险

自动完成的安全风险

我听说过有些网站有不可见的自动完成字段,因此当用户使用自动完成时会捕获额外的信息(例如,隐藏的地址字段,只能使用自动完成来填写)。

阅读时答案我可以强制 Google Chrome 记住密码吗?我想知道这是否会让您遭受额外的网络钓鱼诈骗或其他隐私/安全漏洞,而这些原本不会成为问题。

答案1

您所提到的功能是自动填充但在网页上通常被称为自动完成(表格)。

这使用表单中的字段名称来标识要填写的内容。如果“流氓”页面决定根本不呈现此字段,您可能会错过它。但是,在大多数方法中,自动化使用域名等详细信息来键入字段(它不会因为您有相同的用户名而跨网站使用相同的密码)。

话虽如此,最好不要让这些自动化机制记住重要的密码(例如您的银行密码)。有很多方法可以从浏览器中劫持此类数据,所有这些都取决于当前可用的漏洞。

例如:使用使用 lastpass 自动填充.
无论如何,你仍然可以选择不使用它作为你的关键密码——AmEx 示例


根据评论更新。
自动化通常可以更好地区分网络钓鱼尝试,因为它不限于人为模式匹配故障。但我想我们都明白这一点。这让我们剩下表单自动完成部分——让我指出这个 mozilla 页面关闭表单的自动完成功能。就不要用:-)
我觉得这个lastpass方法相对来说会更合适。

相关内容