这似乎是一个非常大的安全漏洞,因为任何人都可以快速进入设置,只需点击一下即可显示原始用户的密码。
我也没有看到它对原始用户显示他保存的密码的好处。
甚至没有禁用显示密码的选项。
在Firefox中,有一个选项可以使用主密码,但仍然没有选择不使用主密码,仍然禁用该功能来显示密码。
我认为应该加密保存,没有简单的方法来解密它。
答案 0 :(得分:2)
我认为应该加密保存,没有简单的方法来解密它。
显然,您必须始终能够解码它,否则浏览器将无法执行此操作,并且该功能将无效。
你所倡导的是混淆。但混淆是无效的。
每100人中有多少人能够在一分钟内看到密码
100
解码方案有多复杂并不重要;如果只有一个人可以解决它如何解码(并且总会有一个,即使对于模糊的非开源软件),他们也可以提供一键式工具来完成这项工作。
如果您的攻击者是一名未经授权的用户,可以快速访问该计算机,他们可以在几秒钟内下载并运行一个工具来解密密码库 - 当然只需要查找密码就可以了。用户界面。
因此,部署混淆会使真正的用户生活变得不那么方便,但对攻击者来说并不是那么方便。那不是胜利。
但如果他们忘记了,他们仍然可以使用已保存的密码登录。如果他们想要他们可以从网站重置它
攻击者也可以(短暂的物理访问或特洛伊木马)。你在这里保护的威胁模型是什么?
答案 1 :(得分:1)
有许多用户通常会记住密码并忘记密码。通过向他们显示他们保存的密码,它可以帮助他们轻松恢复对其帐户的访问。在保存密码时,它首先要求输入密码。因此,如果用户使用他的个人系统或使用第三方系统,用户应该足够聪明,可以采取相应行动。
答案 2 :(得分:0)
你基本的假设是错误的,“加密保存没有简单的方法来解密它”是不可能的。因为它们是开源的,解密的方式是公开的,所以任何人都可以轻松解密它。
相反,通过易于破解的加密来欺骗用户,您会收到警告,可以轻松检索密码,将其保存为您自己的风险,或者不保存密码。