首先就是在此之前就看到有相关报道讲到Chrome等浏览器密码都在本地明文存储,而且权限要求很低,任何程序都可以随意读取,这方面的安全问题暂且不表。
今天使用Edge时候发现浏览器储存的密码,在我已经设置了系统验证/主密码的情况下,在没有填充但是已经有弹窗提示填充密码的场景中,会出现没有验证时其实真实密码已经被输入进了密码文本框之中,这时候其实只要将当前页面密码框重新由password更改为text,就可以绕过在设置页面里布置的安全验证步骤直接拿到密码,经过测试Chrome/Edge均可复现,所以从这方面说Chromium系的浏览器密码保存极不安全,建议大家保存重要密码还是使用有安全保护措施的第三方密码保存方式,否则密码泄露只在谈笑之间。
