Chrome自带密码管理并不安全,浅谈一些潜在的风险

作为全球最流行的浏览器,Google Chrome自带的同步服务自然是备受追捧。自带的密码管理功能联动Google账户也是很香的,可是你有没有深入思考过它也许不是那么的完美安全呢?

chrome密码管理功能

价值极高的密码作为黑客眼中的香饽饽,学会盗取它简直就是必修课。有了一个密码就能撞库获取更多的隐私信息。那么为了保护信息,势必要将密码加密,可是…谷歌它做了什么呢?

谷歌将密码管理功能的数据库文件储存在了本地

%UserProfile%\AppData\Local\Google\Chrome\User Data\Default\Login Data

谷歌并不是什么都没有干,据其他网友分析,谷歌为了保护敏感信息引用了微软提供的一个自带API:DPAPI(全称:Data Protection Application Programming Interface)这个API只允许有密码保护的Windows用户去解密加密的数据。所以说,你的主密码就是你的Windows用户密码。想要解密它,就只能使用当前电脑当前的Windows账户,条件缺一不可。如果恰好你的微软账户密码泄露,就相当于将你存在Chrome中的密码全部拱手相让。

无权限随意访问的目录

DPAPI也不能保证数据库的绝对安全,自然而然有人开发了一些第三方工具能够获取这个密码。比如NirSoft提供的ChromePass。而如果碰巧你正在使用远古版本(2013)的Google Chrome,并且你的网络环境不允许浏览器自动更新,那么其他人甚至可以直接打开浏览器,点击显示密码,没有安全验证的直接查看明文密码。

由于Windows系统开放的特性,几乎所有被有心设计过的第三方软件都能读取到Chrome浏览器的密码数据库文件。只需读取、拷贝、上传到第三方服务器,这就给暴力破解留下了充裕的时间。

关于Chrome这方面的安全性,Chrome 浏览器安全技术主管 Justin Schuh 在 HackerNews 发帖做了解释——主密码提供了一种虚假的安全感,保护敏感数据的最可行保护方式是要取决于系统的整体安全性。

Elliot Kember 完全是小白用户的看法,他们花费了多年的时间考虑这个问题,并且有大量的数据支持这个决定,在他看来,如果有人入侵了你的系统用户账号,即使再多的安全措 施也是无用的。密码加密的想法虽然出自好意,但是 Chrome 团队不想给用户安全的错觉或者鼓励危险的行为。那不是他们处理安全问题的方式。

Justin Schuh 的采访

啊?“安全的错觉”?难道普通用户会去设置里了解明文保存的事实么?如果 Chrome 明确提示说“密码会以明文”保存,或许用户不会有“安全的错觉”,但在没有更多提示的情况下,用户反而会产生“安全的错觉”吧。另外,根据 Google 工程师的逻辑,一旦坏人进了你的家门,所有的东西都有危险,所以任何柜子都不要加锁么?古怪的逻辑,而且在现实中,安全问题一定是来自专业黑客么?

引用自爱范儿 http://www.ifanr.com/328760

看上去Google的天才工程师都为你想好了是吧,以为自己可以高枕无忧了。可是这就像是先有鸡还是先有蛋的问题一样。虽然说能够物理接触到计算机的人,即使浏览器不能显示你的密码,居心不良的人只要在你电脑上安装一个内存读取的木马,也就什么都知道了。可这并不代表作为服务的提供者,谷歌就有了在保护用户安全方面偷懒的理由,创建一个新加密算法对于谷歌来说并不是什么难事,只是他们不想做罢了。同样的微软也有责任,为什么不建立一个更好的文件权限管理制度并合并入UAC呢?抄抄Android的作业也未尝不可。毕竟在一个ARM能跑x86程序、iPhone 7能跑Android系统的年代,还有什么“离谱”的事情不能发生呢?到头来还得是用户盯防谨记这些薄弱环节可能存在的安全风险,简直是滑天下之大稽。

网易云音乐收费后音质降级

“收费我可以理解,但音质降级是为了什么?网易云服务器存放不过来那么多数据?收费前下载的音质都是sq,收费后却只能下载hq的。”

来自贴吧网友阿兰提戈公爵

消息来源来自此处

无 损

不知道该如何评价了

网易云干过的坏事又喜加一,您可能是正版音乐的受害者。

在此本站向您推荐使用简单纯粹的流媒体

作为版权巨头的软件,就不用担心曲库了,热门歌曲全都有,冷门歌曲建议用网易云互补就行,反正大多数都是盗版上传的。资费每月也就5,6块钱,总比坑爹的国内软件好太多。

网易云VIP充值界面

站长生病了😷需要好好修养一阵子

欲渡黄河冰塞川 将登太行雪满山

我是ViaACG的站长本人

前几天去医院🏥,查出了些毛病。治了下身体难受的很。恢复期就不开电脑了💻

之前想的大概每周一到两个pov 网站内容更新的样子,结果计划全部被打乱了。

摸了摸了

关于网站的建设就先放一下,还有其他事情等着搞。

《小米圣经》

视频转载:https://www.bilibili.com/video/av889985041

Youtube:

文字版:

我真的是服了小米了。

他今…原本我今天晚上一点事都没有,今天晚上偶然,我的朋友,跟我问我,K40的12.5.5的那个…公…12.5.5的那个增强版为什么还没上,好嘛。我打开小米社区一看,发现他莫名奇妙弹了个通知,跟我说这个,K40开发版内测申请通过,我想着,哎?我没有,这个K40开发版内测的权限,我没有给他报名啊,然后我就点进来一看,看到,哎?我莫名其妙多出来个K40的内测。然后我看一下,哎不对啊,我小米10至尊版的开发版公测呢,为什么没有了呀?为什么这里全变成申请了呀?我原本300多的内测分怎么变成55了呀?完蛋了呀。

然后我这边看了一下我的信息:

“我们遗憾地通知您,由于您在2021年,未完成,内测考核,您在该项目内测资格已被取消。”

是,取消了,没关系,问题是,我,根本没有Note 8Pro的手机,我曾经有一台Note 8Pro 的手机,后来我把它二手出掉了,现在是怎么样,我忘记取消了,满意了吗?我忘记取消了,但是,我之前有,之前这个小米社区3.0的时候,他好像内测只允许三台设备,我就把我1 2 3 4 5 6 7 8 我是,我在小米这里买了不只十…我在小米这里可能买了十几二十台手机,在以前开发版随便刷的时候,我把我的每一台小米设备 ,看到了吗↑?这一万九的消费金额,看到了吗,这…这么多的线下门店,我买,我,实话说我确实是米粉,我就是个傻逼 !满意了吗?

我,他妈刷开发版刷了…数…没刷…没说…没说五六十次二三十次都有了,我把小米10全系列买了一遍 ,10、10Pro、10S、10Ultra我全买了,这是我的第二台10Ultra,我就想老老实实用开发版公测养个老,你小米牛逼,好吧?把我内测分,300多的内测分,给我硬生生地扣到55,牛逼,你这让我怎么刷,啊↑? 我一看通知,我没完成任务,那我之前为什么,我之前为什么没完成任务的时候,你不把我的开发版内测下架,让我这么刷上来,啊?跑到现在这个时候跑到今天,今天八月十六号开始,给我说内测资格未审核通过,找客服又找不到,这个什么垃圾小米社区3.0app啊?连个客服通道都没有,啊↑?

我就好奇了,我花这么多的钱买个小米,你MIUI垃圾就算了,我刷开发版养老,因为开发版比稳定版稳定,我忍了好嘛,但是你现在怎么样,你直接,他妈绝我后,我公测资格没了 ,你看到了吗↑?

雷军↑!

金凡!(咆哮)

看到了吗?(咆哮)

什么弱智啊,啊↑?

我今天就要说小米的不好了,好吧,我…我…我觉得我有…我觉得我可以…我有资格说小米不好,看到这4000多的米金了吗 ,我真的不是…不是我吹,我买小米的设备真的买了非常的多,我真的非常支持小米;你看,今天8月16 ,我小米平板虽然是在京东预定的,但我起码也是支持了一下雷总的,所谓的高端梦,小米11我也买了,我还买了两台,结果你给我烧WIFI,这个我也就算了,毕竟我现在用的是10Ultra好吧 ,我来,我们来看一下;看第一个“星辰”看到没有,星辰,我有资格说吧,我有资格说…我有资格评价一下小米吧,我是个米粉吧,我不是那些什么尬黑的,星辰!看看升级门槛要多少,要1000 ,看到了吗↑?

1000!看到没?

米金抽奖160的幸运值(强调),我那天我不知道在抽什么风,我就拿着这20米金 ,因为我当时有一万多的米金,我就点啊点啊点到幸运值160,送…我记得我抽了差不多20个指甲刀,看到了吗?(咆哮)

这20个指甲刀像个弱智一样的,这指甲刀一把九块九,你买了,你要付一分钱的邮费,不是,你要付一分钱的钱,一分钱的钱算了;你线下小米之家兑不了是吧,你线上买的这个指甲刀还要额外付十块钱运费,而且这个优惠券还不能叠到一起,就是说我(还要)花十块零一分钱买你一把九块九的指甲刀,你当我是傻的吗↑?

我们再点开来这个设备积分,我第一次点开来我整个人都傻了,你知道吗?超99.9%的用户,我都怀疑我就这么简简单单买几台设备,怎么可能超99% 的用户。

我真的是,我服了我,那一点一点我支持小米支持了这么久,你现在倒好,这个小米社区,随随便便就把我开发版给停掉了,你自己看,我…我的小米,我的小米10Ultra,不是开发版吗?难道是假的吗!我说怎么搜不到更新推送,你自己偷偷摸摸地把我地开发版权限取消掉了,取消掉就算了,我300多的内测分,你还给我硬生生地调到50,啊↑?很有意思吗?

你自己看看你设置的什么弱智东西啊,修改头像+20分,修改昵称+20分,修改过个性签名+20分,点赞,每日上限5次再加1分,我就算把这上面,这前面三个全部做完,你能给我加多少分,一天?一天是不是加…一天是不是加16分,你给我算一下(300-55)/16,我要做多少天?

我就真的服了这些小米了,为什么你之前的东西不帮我处理好,偏偏这时候来帮我处理,帮我把这个东西封禁掉,如果不是我看到,我,这所谓的什么K…K40开发版内测…内测通过。我严重怀疑你这个什么组织就是有bug,把我其他内测全删了,唯独给我留了一个我没有的K40,你有毒吧!你们↑?

我还能点进去 ,55的内测分我能点进去,那我为什么不能拥有小米10至尊版,的公…开发版公测啊?我本来就有小米10至尊版开发版公测,点进去内测足…内测分不足300,我本来就有350多360多,我就,用个开发版养老怎么了,以前不是可以用开发版吗,现在不可以,啊↑?

你升级,小米这个社区3.0多久了,有一个月了吧,一个月了现在才开始,啊?

(细嗓)“你没有完成这个月的任务,所以我要把你内测取消了,我还要扣你的分,让你没法再继续申请。”

你是傻的吗↑?一堆人刷开发版就是为了养老,谁来光顾你这鬼东西啊?什么东西都,什么东西都往公测里面加,什么东西都往内测里面加,你看看这些提案,反…建议中心、反馈中心都是什么东西:

超级壁纸息屏显示支持显示步数信息,我要这个东西来干什么,我他妈一个后台一会左飞一会右飞,我要你一个超级壁纸息屏支持显示步数干什么,啊?(咆哮)

还有这个增加90Hz刷新率,我用11Ultra我就喜欢120Hz,你喜欢90Hz ,你自己都是开发版的,你为什么不敢root?刷一个面具进去,不就能90Hz了吗?

还这个内存融合技术,好,这个是很好用,你看看隔壁iQOO、Realme 什么的,他内存融合是什么,可以调的,你给的是什么?Note 10Pro 你就给两G…两个G的内存融合,我这个你就给三个G,感情你8+3=11是吗?11G内存打得过其他人是吗↑?做又做不完,就提供一个开关,还不给用户选择,哼↓,我服了。

你看看这些提案都是什么鬼东西:

相机支持自动检测并打开微距模式,我真的烦死(强调)小米10Ultra的这个微距模式了,我,他妈对着15cm的时候能打开微距模式,那个照片糊的像坨屎一样,他还好意思调出来微距模式,好意思吗↑?

不是我说,我忍这个MIUI很久了好吗,你卡卡卡,你垃圾垃圾,我默默地在支持你,我不离不弃,好嘛? 你…你…大家对你…你用垃…你用这个系统垃圾口诛笔伐的时候,行,我支持你,我觉得你会改,我继续支持一下你的旗舰11Ultra,好,然后我买了11Ultra是怎么样呢:

拍照5秒一卡,夜景模式在那里转圈圈转了一分钟,一张照片都没保存下来,拍照,8K, 5分钟他就发热给我弄没了,我视频哪?(咆哮)别人的888怎么不会这样,你的888就会这样,难怪你发个什么黑鲨2Pro,世界第一的散热背夹,你自己拍8K视频5分钟就没了,你要个散热背夹,难道你拍视频的(环境音:叮咚)时候后面还要粘一个散热背夹吗?

我跟你说的建议中心立案的一万多条立项,能有1000多条是运用于这个系统bug的,我都给你金凡磕个头,我跟你说,金凡这次在MIUI12.5上面说的那个什么:

(细嗓)“啊↓”

“我们给优先…优先给应用机制。”

MIUI9不是早就用了吗,啊?(咆哮)

我真的是服了我,我真的,我很生气非常生气,那小米就是个垃圾,我看今天谁敢买小米旗舰(咆哮)!

关于WordPress的SEO插件的坑:双重显示站点标题

众所周知,建个网站站长对SEO插件需求是蛮高的,参考了别人的文章后成功的踩坑里去了

介绍一下4位参赛选手:

  1. Rank Math 900,000+个已启用安装数,5.0星(基于3,446个评级)
  2. Yoast SEO 超5百万个已启用安装数 5.0星(基于27,377个评级)
  3. The SEO Framework 100,000+个已启用安装数 5.0星(基于282个评级)
  4. All in One SEO 超2百万个已启用安装数 4.5星(基于1,718个评级)

OK介绍完毕,首先请一号选手Rank Math上场

全英文的Rank Math让人一样就没有配置的欲望,心里想着安装好了差不多就得了,哪知道这才是开始……

忙了一阵之后偶然一瞥浏览器标题栏,好家伙,显示的站点标题=(站点标题+副标题)×2了

搞的我心慌慌的赶紧Google一番,查询了几篇博客文章后发现是SEO插件/WP主题优化的锅

于是想着斩草除根,干脆直接换成另一个流行插件:Yoast SEO (支持中文)

果不其然,安装好后问题复现。尝试在插件设置中调整,却怎么也调不好。

又Google了一番,看到在这篇文章中有提到修改主题的方法解决问题

虽然是可以修改,但是主题还是不太想乱动🤦‍(后来想想可能是最靠谱的方法)

祭出祖传重装大法,没想到这位2号选手更是个重量级,直接不显示“搜索外观”板块了

柠檬酸了

气的我是当场请出三号选手The SEO Framework,这个插件与上一位的臃肿截然不同,明显更加简洁明了,并且同样支持中文汉化。可是再美的外表也无法掩饰问题依旧存在的事实。

如果没有遇到这个毛病的话可能他就驻守本站了

几小时后

卡在这里了好久,似乎无法解决这个问题了

抱着死马当活马医的心态请来了第4位选手All in One SEO,一装好就完事儿了…

就完事了…….

所以我之前忙活了个啥?

网络上也有其他人遇到了All in One SEO产生的相同问题,所以安装All in One SEO可能不适用于其他人

为网站添加SSL证书

互联网冲浪选手都知道,HTTPS对于网站来说尤其重要。

今天给ViaACG整了一个大多数人都在用的免费证书,

Let’s Encrypt是一个为所有人提供免费 SSL 证书的非营利组织,截至 2020 年 2 月,他们已颁发了超过 10 亿张证书。

要使用 HTTPS,需要在服务器上安装 SSL 证书。

在远程终端里为自己的网站安装证书的时候注意这么一行

Enter more domain name(example: lnmp.org *.lnmp.org):

如果安装失败了记得检查这项设置,可能这一行空白回车更好。

加个HTTPS支持好处多多,这不只是地址栏旁边的挂锁上写个“不安全”的强迫症因素;据说许多搜索引擎会对不使用 HTTPS 的网站进行惩罚,从而使其更难到达搜索结果中的最佳位置。

做网站是真的不容易

因为一些其他事累到连Hello World都不想写了,

还好,WordPress贴心的自带了一篇演示文稿。

初期起步工程量不大,3天就搞好了一个主页,后续不知道还要投入多少人力财力(无底洞)

归功于神奇的因特网,冲浪板都能自己造了。欢迎来到21世纪。

听一首歌放松一下吧:

另外吐槽一下Wordpress的嵌入,Spotify生成的嵌入代码一贴进去就报错,晕了,还以为又是什么新奇bug。解决方法参考官方解答

想了说很多很多,又好像什么都没有,随缘更新了。