当我研究android中的默认浏览器时,我看到它保存的密码不会加密。 这是安全威胁吗? 是否有任何方法可以读取这些密码并滥用它们的Android应用程序(关于这可以读取浏览器历史记录)? 有没有办法加密这些密码?
更新:我看到密码保存在/data/data/com.android.browser/webview.db文件中。 默认浏览器的cookie也会保存在此文件中吗? 如果是,则站点访问此文件以读取和写入cookie,然后驻留在站点上的恶意应用程序可以访问webview.db。
答案 0 :(得分:0)
密码必须以纯文本形式提供给浏览器,因为这是发送到目标页面的方式。在适用于Android的Firefox和许多桌面浏览器中,可以选择使用主密码'保护整个数据库。这似乎不适用于Android版Chrome或默认浏览器。
此时,您必须考虑您的威胁模型。 Android应该阻止应用访问彼此的数据;如果这是没有错误的,您将受到其他应用程序的保护。但是,如果有人抓住Android设备并可以解锁,他们可以尽可能地读取密码。使用烦人的长密码进行全面设备加密可以帮助抵御这种威胁。
我希望,同样适用于历史。但是,所有三种浏览器都允许您通过设置删除Cookie和历史记录。虽然在桌面上Firefox可以在退出时自动生成,但它不能在Android版本上实现;它仍然是一个手动操作。
最后,这三个允许你打开私人'或者'隐姓埋名'不保留历史记录和Cookie的标签。如果您的浏览活动很敏感,这可能是一个不错的选择。
Peter Trei,CISSP