V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
realpg
V2EX  ›  程序员

Opera 浏览器 PC 版,换用 Chromium 内核后,竟然可以不经用户明文许可直接读取 Chrome 保存的密码……

  •  1
     
  •   realpg ·
    realpg · 2019-02-20 17:19:18 +08:00 · 5857 次点击
    这是一个创建于 2104 天前的主题,其中的信息可能已经有所发展或是发生改变。

    PC 装了个 Opear 浏览器,就是为了隔离账户。

    结果,Opera 不经我许可,直接可以读取 Chrome 保存的密码(主存储于 google 账户)……

    Opera 未登录 google 账户,opera 账户,貌似是直接去读 Chrome 的文件,完全未经过我的许可……

    这波操作实在是厉害至极

    46 条回复    2019-02-21 18:11:32 +08:00
    fuchaofather
        1
    fuchaofather  
       2019-02-20 17:35:03 +08:00
    是的, 我也发现了
    envylee
        2
    envylee  
       2019-02-20 18:52:14 +08:00
    对啊,这个只能怪 chrome,他们的密码保存机制本来就是在本地明文存储的
    realpg
        3
    realpg  
    OP
       2019-02-20 19:10:35 +08:00
    @envylee #2
    别人知道你的东西在哪就可以随便拿?
    realpg
        5
    realpg  
    OP
       2019-02-20 19:17:18 +08:00
    @invalidtoken #4
    Chrome is not my default browser.
    jousca
        6
    jousca  
       2019-02-20 19:18:45 +08:00
    @realpg OPERA 认为它是你的 default browser.
    Imr
        7
    Imr  
       2019-02-20 20:53:13 +08:00 via iPhone   ❤️ 3
    win 版 chrome 密码是存在 win 系统凭证里面的,只要有当前账号权限就可以访问到,不涉及到连接 chrome
    disk
        8
    disk  
       2019-02-20 20:54:37 +08:00 via Android
    @envylee 明明是用本地登录凭证调用系统 api 加密存储的
    realpg
        9
    realpg  
    OP
       2019-02-20 20:59:15 +08:00
    @Imr #7
    已翻阅本机 windows 系统凭据,没发现有浏览器密码。
    不过 windows 自身提到的是默认保管位置
    正在咨询 Google 浏览器项目组的大佬,马上有答复
    cwcauc
        10
    cwcauc  
       2019-02-20 20:59:37 +08:00 via iPhone
    那要是一众国产软件想调取就可以直接调取吗……
    ysc3839
        11
    ysc3839  
       2019-02-20 21:46:38 +08:00 via Android
    Chrome 保存的密码并没有引入外部密钥来加密,也就是说要不然没加密,要不然密钥存在本地。
    gamexg
        12
    gamexg  
       2019-02-20 21:57:22 +08:00
    @envylee #2 chrome 密码是加密保存的,但是是直接使用的 windows 加密方案。
    也就是当前 windows 帐号下的程序都可以解密密码,其他用户就无法解密。
    msg7086
        13
    msg7086  
       2019-02-20 23:48:40 +08:00   ❤️ 2
    @ysc3839 Chrome 的密钥绑定到当前用户 SID。复制到别的电脑或者用别的 SID 是打不开的。
    同理备份 Chrome 的 Cookie 需要连带用户 SID 一起备份,到新电脑下再导入合并到新 SID 下。
    Les1ie
        14
    Les1ie  
       2019-02-20 23:59:34 +08:00
    chrome 的密码时可以直接读出来的,自己以前写过脚本试过,网上也有很多的脚本
    eg: https://github.com/hassaanaliw/chromepass/blob/master/chromepass.py
    Les1ie
        15
    Les1ie  
       2019-02-21 00:01:14 +08:00
    so, 解决方案是不用 chrome 保存重要的密码,重要密码存密码管理工具或者大脑里面
    Les1ie
        16
    Les1ie  
       2019-02-21 00:02:26 +08:00
    @cwcauc #10 技术上是没难度的
    Osk
        17
    Osk  
       2019-02-21 00:04:07 +08:00
    可惜了,放弃自己的内核,当年的 opera 真的是很喜欢的浏览器。

    更不用说现在被某司收购。

    不好意思,和主题无关,感叹下。。。
    chocolatesir
        18
    chocolatesir  
       2019-02-21 00:08:28 +08:00 via Android
    yandex 也是这样的
    geelaw
        19
    geelaw  
       2019-02-21 00:20:27 +08:00
    题外:正确隔离的方式是建立另一个 Windows 用户,然后给那个用户安装你需要隔离的软件。
    msg7086
        20
    msg7086  
       2019-02-21 02:57:54 +08:00
    @Osk 那时候的 Opera 还不需要插 16G 内存就为了开点网页……
    xiaolanger
        21
    xiaolanger  
       2019-02-21 04:04:55 +08:00
    @Osk #17 当年的 Opera 速度是真快啊,就是丑了点。。。
    580a388da131
        22
    580a388da131  
       2019-02-21 04:21:05 +08:00 via iPhone   ❤️ 1
    Chrome 用系统账户加密密码然后存放在本地的一个 sqllite 数据库文件里,只要有账户授权,任何程序都能读取。这个问题已经很多年了,Chrome 曾经回应说主密码的安全是虚幻的,重要的是确保系统安全……
    580a388da131
        23
    580a388da131  
       2019-02-21 04:24:10 +08:00 via iPhone
    😯,看漏了,问题应该是 Opera 默认隐藏勾选……
    envylee
        24
    envylee  
       2019-02-21 07:43:31 +08:00
    @realpg 麻烦你先摆正自己的立场和我的位置,这 G8 玩意不是我做的;

    本来还想用你的逻辑来类比一下让你知道自己这句回复有多搞笑,但是我尝试了一分钟之后以失败告终,果然你们这种喷都不会喷子我是共情不来的。
    envylee
        25
    envylee  
       2019-02-21 07:44:24 +08:00
    @gamexg @disk 谢谢两位指正,我理解有误所以张口就来了,抱歉
    tulongtou
        26
    tulongtou  
       2019-02-21 08:06:18 +08:00
    Opera 现在是 360 的,所以做这些就不奇怪了
    onionnews
        27
    onionnews  
       2019-02-21 08:34:22 +08:00 via Android
    如果任意一个软件都能获取密码的话,也就是说恶意软件也可以拿了?
    realpg
        28
    realpg  
    OP
       2019-02-21 09:40:26 +08:00
    @envylee #24
    就你这种凭一句话就能理解出这么多东西 并且给人定性成喷子的智障 已 block
    7colcor
        29
    7colcor  
       2019-02-21 09:50:33 +08:00
    你自己去查 chrome 密码,都需要输入 win 的账号密码,才能看。
    whileFalse
        30
    whileFalse  
       2019-02-21 10:01:34 +08:00
    楼主要不要反过来试试,在 Opera 里保存一个密码,在 Chrome 里面能不能看到。
    shuax
        31
    shuax  
       2019-02-21 10:30:48 +08:00
    推荐一个软件 ChromePass
    mytry
        32
    mytry  
       2019-02-21 10:33:28 +08:00
    🎵外国人把那浏览器,叫做北京 Opera
    Dye8
        33
    Dye8  
       2019-02-21 10:43:08 +08:00 via Android
    @mytry 生动形象
    summerluqman
        34
    summerluqman  
       2019-02-21 10:48:32 +08:00 via iPhone
    这个也调用 chrone 内核了?大势所趋啊,edge 怎么没什么动静
    SuperMild
        35
    SuperMild  
       2019-02-21 10:56:22 +08:00
    不要用 opera,用 Vivaldi,据说后者才是原班人马做的
    bxb100
        36
    bxb100  
       2019-02-21 11:02:12 +08:00
    FireFox 和 Edge 也可以直接读取
    GuangXiN
        37
    GuangXiN  
       2019-02-21 11:06:21 +08:00 via Android
    @Osk 自己的内核实在改不动了
    huahuajun9527
        38
    huahuajun9527  
       2019-02-21 11:08:59 +08:00
    Elcomsoft Internet Password Breaker 浏览器密码提取工具
    dalieba
        39
    dalieba  
       2019-02-21 11:44:51 +08:00 via Android
    Opera 现在算半个国产软件了吧
    hundan
        40
    hundan  
       2019-02-21 11:50:49 +08:00 via Android
    楼主的意思我看懂了 Opera 技术上可以读 但是原则上不该直接去读 至少先问一下……
    belin520
        41
    belin520  
       2019-02-21 12:04:27 +08:00
    @hundan #40 别人还读出来了其他意思?
    hundan
        42
    hundan  
       2019-02-21 12:44:33 +08:00 via Android
    @belin520 你没看到有几条评论都是说因为技术上可读?
    belin520
        43
    belin520  
       2019-02-21 13:20:15 +08:00
    @hundan #42 那可能他们需要挂个眼科了,毕竟这里的评论没办法修改的
    DOLLOR
        44
    DOLLOR  
       2019-02-21 13:53:08 +08:00
    用 portable 版,谁都找不到藏在哪里,除非全盘搜索
    realpg
        45
    realpg  
    OP
       2019-02-21 14:05:20 +08:00
    @belin520 #38
    还给我定性成了喷子呢 多牛逼
    yiyi11
        46
    yiyi11  
       2019-02-21 18:11:32 +08:00 via Android
    我用 lastpass,然后配合浏览器插件,每次打开浏览器查密码要先输 lastpass,虽然麻烦了点,但安全性大大提高。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2698 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 31ms · UTC 10:29 · PVG 18:29 · LAX 02:29 · JFK 05:29
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.