查看完整版本: 别图省事：浏览器自动填充功能被爆有重大安全风险[3P]

别图省事：浏览器自动填充功能被爆有重大安全风险[3P]

[color=rgb]2017-1-11 21:41:20[/color] 来源：[url=http://www.ifanr.com/774427]爱范儿[/url] 作者：陈梓锋 责编：远洋

[size=3]每当注册一个新网站，又或者填写收货地址的时候，看着一大堆的文本输入框就觉得头痛。此时，相信大部分人都会用到浏览器自带的自动填充功能，一键填充如姓名、电话、地址等资料，能够省下不少时间。

[img]http://img.ithome.com/newsuploadfiles/2017/1/20170111212902_9189.jpg[/img]
(图片来自：Popular Mechanics)

不过，就在最近，一个芬兰的网页开发者和黑客Viljami Kuosmanen发现了一个重大的潜在安全漏洞，指出像Chrome、Safari和Opera这样带自动填充功能的浏览器，以及提供同样功能的插件和工具（如LastPass）会泄露用户的隐私。

黑客通过简单的手段，就能够选择性隐藏页面上的文本输入框，而这，就意味着浏览器会在你不知情的情况下，把隐藏的输入框都给自动填充了。如下图Viljami的演示，虽然测试网页上只要求输入姓名和邮箱，但是按提交键后，抓取信息显示，除了这两个信息以外，用户的电话、地址等信息也上传了。

[img]http://ifanr-cdn.b0.upaiyun.com/wp-content/uploads/2017/01/Autofill-feature.gif[/img]
(图片来自：Twitter)

虽然自网购兴起后，我们的名字、地址、电话等个人信息就已经泄漏得差不多了。但对于一些海淘达人来说，还会经常需要填写如信用卡卡号、有效日期和安全码等这些敏感信息，就涉及到了个人资金的安全。而更让人担心的是，据Viljami称，这个漏洞已经存在多年了。

[img]http://img.ithome.com/newsuploadfiles/2017/1/20170111212903_4831.jpg[/img]

由于不支持一键表单填充，Firefox需要用户逐个点击输入框才会给出输入建议，而他们自然也就点击不了隐藏的输入框。除了可以选择使用Firefox避开漏洞以外，用户也可以选择手动输入（检查网页源代码也不失为一个方法），或者直接把浏览器的自动填充功能给关掉。

关闭Chrome的自动填充功能：设置–点击“显示高级设置”–去掉“密码和表单”下面的勾。[/size]

看来还是不要懒就对了，不过这是Firefox的软广吗？