瀏覽器的自動填充(autofill)密碼功能是個相當(dāng)便利的工具。當(dāng)用戶登錄郵箱、新浪微博網(wǎng)頁時,這項功能可以免去記錄帳號、密碼的步驟,給用戶節(jié)省下不少時間。
主流的瀏覽器Chrome、Safari等都支持這項功能,但它的安全性在過去近10年來其實都在受到質(zhì)疑,自動填寫的危險性在于它可能被黑客利用,盜取存儲的個人信息,包括信用卡、住址、帳號密碼等。
這件事最近被芬蘭網(wǎng)頁開發(fā)者Viljami Kuosmanen再次提出,他解釋了黑客可能的攻擊手段。由于多數(shù)自動填充功能一次性會將網(wǎng)頁上的空白文本框填滿,并且提供過多的用戶個人信息。
黑客可以在流氓網(wǎng)站上將部分文本框隱藏,設(shè)置為用戶不可見,從而盜取相應(yīng)的信息。
這張Gif圖可能比較好地解釋了這背后技術(shù),這位開發(fā)者輸入了名字和郵箱,但讓網(wǎng)頁悄悄索取了你保存在自動填充里的更多個人信息。
右下方框出來的部分就是獲取的用戶信息,還包括了他所在公司、手機號等更多的信息。
Viljami Kuosmanen稱,包括Chorme、Safari,以及那些密碼保存服務(wù)在瀏覽器上提供的擴展工具版本,例如LastPass、1Password等,都存在同樣的問題,基本上也都是默認(rèn)開啟自動填充。Firefox據(jù)稱是相對安全的瀏覽器,只因為它不具備填充多個文本框的能力。
科技博客Gizmodo 試圖聯(lián)系 Google 和蘋果兩家公司,但暫時還沒有收到回復(fù)。1Password 等公司稱,他們正在嘗試解決,還談了用戶對瀏覽網(wǎng)頁信任度的問題。不過,這件事情被發(fā)現(xiàn)差不多有10年歷史,科技公司即便現(xiàn)在回應(yīng)也不會對問題有太好的解決方案。
自動填充的危險性最早在網(wǎng)上引起大量討論的,可能是在2006年。Safari 瀏覽器相應(yīng)的問題,在2009年被瑞士開發(fā)者 Patrice Neff 提出,Safari 瀏覽器直接調(diào)用了電腦上存儲的用戶住址信息。但蘋果對此沒有做出更多的反饋。
事實上,即便有危險性,用戶也很難離開這項功能。“(解決方案就是關(guān)閉自動填充)這是對的,但誰會想要關(guān)閉自動填充?”Enderle Group 公司的首席分析師 Rob Enderle 稱,“這是一個很方便的功能。”開發(fā)者 Viljami Kuosmanen 在 Twitter 上也回復(fù)稱,他認(rèn)為這是功能設(shè)計考慮不周。
當(dāng)然,普通用戶仍然可以對這些瀏覽器存儲的信息進行管理。在瀏覽器的設(shè)置里選擇關(guān)閉自動填充,或者是選擇刪除信用卡、住址等敏感信息,另外需要提醒的是,用戶也要小心瀏覽的網(wǎng)頁。