仿站定制优惠中 --更多类型选择联系-> 服务热线:13025755889
当前位置:网站首页 >> 新闻资讯 >> 查看详情
新闻资讯

新闻资讯

你的浏览器「保存密码」功能正在被黑客监视着!

来源:惠州网站建设  日期:2018-01-04 16:14:48  点击:  属于:新闻资讯
平安研究人员发明,营销公司曾经开端应用浏览器内置暗码管理器中已存在 11 年的一个破绽,来偷偷盗取你的电子邮件地点,以便在不同的浏览器和装备上投放有针对性的广告。 除了盗取电子邮件信息外,该破绽还可能容许恶意用户直接从浏览器内偷偷保留你的用户名和暗码,在不需要和你交互的情况下。

还在用浏览器内的「保留暗码」功效?你的暗码可能被黑客记上去了

摘要

据极客公园测试,多款支流浏览器曾经修复了这个破绽。

平安研究人员发明,营销公司曾经开端应用浏览器内置暗码管理器中已存在 11 年的一个破绽,来偷偷盗取你的电子邮件地点,以便在不同的浏览器和装备上投放有针对性的广告。 

除了盗取电子邮件信息外,该破绽还可能容许恶意用户直接从浏览器内偷偷保留你的用户名和暗码,在不需要和你交互的情况下。 

每个支流的浏览器(Google Chrome, Mozilla Firefox, Opera or Microsoft Edge)都有一个内置的暗码管理工具,它容许用户保留自己的登录信息并用于主动添补表单(网页中负责数据采集功效的部分)。 

图 / Google Chrome 中 的「暗码和表单」功效 

这些浏览器内置的暗码管理器是为了方便用户应用而计划的,由于它们会主动检测网页上的登录表单,并相应地填写在暗码管理器中保留的用户名和暗码等凭证。 

来自普林斯顿大学的一个研究小组发明,有两家营销公司正在应用这类内置的管理器破绽来追踪 Alexa(一家专门发布网站世界排名的网站)上一百万个站点中的约 1110 个站点的访问者。 

研究人员发明这些网站上的第三方跟踪脚本在网页后台注入了隐蔽的用户登录(窗口),欺骗了基于浏览器的暗码管理器,应用保留的用户信息主动填写表单。 

研究人员表示:一般来说,登录表单的主动添补功效不需要用户做任何操作,所有的支流浏览器都会立即添补用户名(通常是电子邮件地点),而不管表单的可见性若何。Chrome 不会主动添补暗码字段,直到用户点击或触摸页面上的任何位置。而其它浏览器不需要用户交互来主动填写暗码字段。 

这些脚本主要是为跟踪用户而计划的,是以它们会检测用户名,并在应用 MD5、SHA1 和 SHA256 算法停止散列(也被称作「哈希」,将任意长度的输入转换成固定长度的输出)处理之后将其发送给第三方服务器,然后将其用作特定用户的持久 ID,以便对用户停止持续跟踪。 

由于用户往往只应用一个电子邮箱,它是独一无二的,而且几乎不会调换,是以电子邮件地点是个很好的用于跟踪用户的标识符。无论是清除 cookies、应用隐私浏览,还是调换装备,都不会阻止用户被追踪。 

尽管研究人员曾经发明了应用这类跟踪脚本来获取用户名的市场营销公司,但以相同方法收集用户暗码的组织目前未被发明,它存在的可能性异常高。 

但是,大多数第三方暗码管理器,如 LastPass 和 1Password 都不容易受到这类进击,由于它们避免了主动添补不可见的表单,并且需要用户交互。 

据极客公园测试,多款支流浏览器曾经修复了这个破绽,不外咱们仍然能够看到图中的演示。防止此类进击的最简单方法是在浏览器上禁用主动添补功效。同时,极客公园建议用户要按期改动暗码。 

图 / 进击演示图(来自 The Hacker News )

其他的暗码管理工具也可能呈现成绩。本年 3 月,LastPass 再次被爆出平安破绽,google Project Zero 团队的平安研究人员 Tavis Ormandy 发明,在 LastPass Chrome 和 Firefox 4.1.42 版本插件中存在三个破绽,进击者能应用破绽从暗码管理器中提取暗码,还能够执行受害者装备上的命令,该破绽存在于所有操作系统中。 

LastPass 并非唯一被曝破绽的暗码管理类应用,其他暗码管理器也呈现过各种破绽。没有暗码管理器之前,咱们记不住所有的暗码,而有了暗码管理器,它说不定会泄露了你的暗码。 
 

不外,随着「扫描二维码登录」、生物识别技巧和分析用户行为的技巧曾经走进了大家的生活,或许在未来的某一天,咱们就能够告别令人讨厌的暗码了

Win7 IE浏览器若何禁用主动保留网页暗码的功效?

1,点击开端菜单,抉择“控制面板”。

Win7 IE浏览器若何禁用主动保留网页暗码的功效?

2,点击“网络和Internet”。

Win7 IE浏览器若何禁用主动保留网页暗码的功效?

3,点击“Internet选项”。

Win7 IE浏览器若何禁用主动保留网页暗码的功效?

4,在打开“Internet属性”窗口中,抉择“内容”选项卡。点击“设置”。

Win7 IE浏览器若何禁用主动保留网页暗码的功效?

5,在弹出来的窗口中去掉“表单上的用户名和暗码”的勾便可禁用主动保留暗码。在启动主动保留暗码的状况下,能够抉择保留前能否扣问,如下图:

Win7 IE浏览器若何禁用主动保留网页暗码的功效?

 

 

本文由惠州欣惠网络整理发布,转载请注明出处:http://www.web1998.com/news/302.html

Copyright © 2013-2019 www.web1998.com 惠州网站建设 欣惠网络公司 版权所有 粤ICP备19023339号-1