Chrome自带密码管理并不安全,浅谈一些潜在的风险

作为全球最流行的浏览器,Google Chrome自带的同步服务自然是备受追捧。自带的密码管理功能联动Google账户也是很香的,可是你有没有深入思考过它也许不是那么的完美安全呢?

chrome密码管理功能

价值极高的密码作为黑客眼中的香饽饽,学会盗取它简直就是必修课。有了一个密码就能撞库获取更多的隐私信息。那么为了保护信息,势必要将密码加密,可是…谷歌它做了什么呢?

谷歌将密码管理功能的数据库文件储存在了本地

%UserProfile%\AppData\Local\Google\Chrome\User Data\Default\Login Data

谷歌并不是什么都没有干,据其他网友分析,谷歌为了保护敏感信息引用了微软提供的一个自带API:DPAPI(全称:Data Protection Application Programming Interface)这个API只允许有密码保护的Windows用户去解密加密的数据。所以说,你的主密码就是你的Windows用户密码。想要解密它,就只能使用当前电脑当前的Windows账户,条件缺一不可。如果恰好你的微软账户密码泄露,就相当于将你存在Chrome中的密码全部拱手相让。

无权限随意访问的目录

DPAPI也不能保证数据库的绝对安全,自然而然有人开发了一些第三方工具能够获取这个密码。比如NirSoft提供的ChromePass。而如果碰巧你正在使用远古版本(2013)的Google Chrome,并且你的网络环境不允许浏览器自动更新,那么其他人甚至可以直接打开浏览器,点击显示密码,没有安全验证的直接查看明文密码。

由于Windows系统开放的特性,几乎所有被有心设计过的第三方软件都能读取到Chrome浏览器的密码数据库文件。只需读取、拷贝、上传到第三方服务器,这就给暴力破解留下了充裕的时间。

关于Chrome这方面的安全性,Chrome 浏览器安全技术主管 Justin Schuh 在 HackerNews 发帖做了解释——主密码提供了一种虚假的安全感,保护敏感数据的最可行保护方式是要取决于系统的整体安全性。

Elliot Kember 完全是小白用户的看法,他们花费了多年的时间考虑这个问题,并且有大量的数据支持这个决定,在他看来,如果有人入侵了你的系统用户账号,即使再多的安全措 施也是无用的。密码加密的想法虽然出自好意,但是 Chrome 团队不想给用户安全的错觉或者鼓励危险的行为。那不是他们处理安全问题的方式。

Justin Schuh 的采访

啊?“安全的错觉”?难道普通用户会去设置里了解明文保存的事实么?如果 Chrome 明确提示说“密码会以明文”保存,或许用户不会有“安全的错觉”,但在没有更多提示的情况下,用户反而会产生“安全的错觉”吧。另外,根据 Google 工程师的逻辑,一旦坏人进了你的家门,所有的东西都有危险,所以任何柜子都不要加锁么?古怪的逻辑,而且在现实中,安全问题一定是来自专业黑客么?

引用自爱范儿 http://www.ifanr.com/328760

看上去Google的天才工程师都为你想好了是吧,以为自己可以高枕无忧了。可是这就像是先有鸡还是先有蛋的问题一样。虽然说能够物理接触到计算机的人,即使浏览器不能显示你的密码,居心不良的人只要在你电脑上安装一个内存读取的木马,也就什么都知道了。可这并不代表作为服务的提供者,谷歌就有了在保护用户安全方面偷懒的理由,创建一个新加密算法对于谷歌来说并不是什么难事,只是他们不想做罢了。同样的微软也有责任,为什么不建立一个更好的文件权限管理制度并合并入UAC呢?抄抄Android的作业也未尝不可。毕竟在一个ARM能跑x86程序、iPhone 7能跑Android系统的年代,还有什么“离谱”的事情不能发生呢?到头来还得是用户盯防谨记这些薄弱环节可能存在的安全风险,简直是滑天下之大稽。

关于WordPress的SEO插件的坑:双重显示站点标题

众所周知,建个网站站长对SEO插件需求是蛮高的,参考了别人的文章后成功的踩坑里去了

介绍一下4位参赛选手:

  1. Rank Math 900,000+个已启用安装数,5.0星(基于3,446个评级)
  2. Yoast SEO 超5百万个已启用安装数 5.0星(基于27,377个评级)
  3. The SEO Framework 100,000+个已启用安装数 5.0星(基于282个评级)
  4. All in One SEO 超2百万个已启用安装数 4.5星(基于1,718个评级)

OK介绍完毕,首先请一号选手Rank Math上场

全英文的Rank Math让人一样就没有配置的欲望,心里想着安装好了差不多就得了,哪知道这才是开始……

忙了一阵之后偶然一瞥浏览器标题栏,好家伙,显示的站点标题=(站点标题+副标题)×2了

搞的我心慌慌的赶紧Google一番,查询了几篇博客文章后发现是SEO插件/WP主题优化的锅

于是想着斩草除根,干脆直接换成另一个流行插件:Yoast SEO (支持中文)

果不其然,安装好后问题复现。尝试在插件设置中调整,却怎么也调不好。

又Google了一番,看到在这篇文章中有提到修改主题的方法解决问题

虽然是可以修改,但是主题还是不太想乱动🤦‍(后来想想可能是最靠谱的方法)

祭出祖传重装大法,没想到这位2号选手更是个重量级,直接不显示“搜索外观”板块了

柠檬酸了

气的我是当场请出三号选手The SEO Framework,这个插件与上一位的臃肿截然不同,明显更加简洁明了,并且同样支持中文汉化。可是再美的外表也无法掩饰问题依旧存在的事实。

如果没有遇到这个毛病的话可能他就驻守本站了

几小时后

卡在这里了好久,似乎无法解决这个问题了

抱着死马当活马医的心态请来了第4位选手All in One SEO,一装好就完事儿了…

就完事了…….

所以我之前忙活了个啥?

网络上也有其他人遇到了All in One SEO产生的相同问题,所以安装All in One SEO可能不适用于其他人

为网站添加SSL证书

互联网冲浪选手都知道,HTTPS对于网站来说尤其重要。

今天给ViaACG整了一个大多数人都在用的免费证书,

Let’s Encrypt是一个为所有人提供免费 SSL 证书的非营利组织,截至 2020 年 2 月,他们已颁发了超过 10 亿张证书。

要使用 HTTPS,需要在服务器上安装 SSL 证书。

在远程终端里为自己的网站安装证书的时候注意这么一行

Enter more domain name(example: lnmp.org *.lnmp.org):

如果安装失败了记得检查这项设置,可能这一行空白回车更好。

加个HTTPS支持好处多多,这不只是地址栏旁边的挂锁上写个“不安全”的强迫症因素;据说许多搜索引擎会对不使用 HTTPS 的网站进行惩罚,从而使其更难到达搜索结果中的最佳位置。

做网站是真的不容易

因为一些其他事累到连Hello World都不想写了,

还好,WordPress贴心的自带了一篇演示文稿。

初期起步工程量不大,3天就搞好了一个主页,后续不知道还要投入多少人力财力(无底洞)

归功于神奇的因特网,冲浪板都能自己造了。欢迎来到21世纪。

听一首歌放松一下吧:

另外吐槽一下Wordpress的嵌入,Spotify生成的嵌入代码一贴进去就报错,晕了,还以为又是什么新奇bug。解决方法参考官方解答

想了说很多很多,又好像什么都没有,随缘更新了。