开发者社区> 泡泡浅眠> 正文

一不小心就说漏嘴!自动填充功能被爆有重大安全风险

简介:
+关注继续查看

每当注册一个新网站,又或者填写收货地址的时候,看着一大堆的文本输入框就觉得头痛。此时,相信大部分人都会用到浏览器自带的自动填充功能,一键填充如姓名、电话、地址等资料,能够省下不少时间。

不过,就在最近,一个芬兰的网页开发者和黑客 Viljami Kuosmanen 发现了一个重大的潜在安全漏洞,指出像 Chrome、Safari 和 Opera 这样带自动填充功能的浏览器,以及提供同样功能的插件和工具(如 LastPass)会泄露用户的隐私。

黑客通过简单的手段,就能够选择性隐藏页面上的文本输入框,而这,就意味着浏览器会在你不知情的情况下,把隐藏的输入框都给自动填充了。如下图 Viljami 的演示,虽然测试网页上只要求输入姓名和邮箱,但是按提交键后,抓取信息显示,除了这两个信息以外,用户的电话、地址等信息也上传了。


image

(图片来自:Twitter)

虽然自网购兴起后,我们的名字、地址、电话等个人信息就已经泄漏得差不多了。但对于一些海淘达人来说,还会经常需要填写如信用卡卡号、有效日期和安全码等这些敏感信息,就涉及到了个人资金的安全。而更让人担心的是,据 Viljami 称,这个漏洞已经存在多年了。


image

由于不支持一键表单填充,Firefox 需要用户逐个点击输入框才会给出输入建议,而他们自然也就点击不了隐藏的输入框。除了可以选择使用 Firefox 避开漏洞以外,用户也可以选择手动输入(检查网页源代码也不失为一个方法),或者直接把浏览器的自动填充功能给关掉。

关闭 Chrome 的自动填充功能:设置 – 点击“显示高级设置” – 去掉“密码和表单”下面的勾

本文转自d1net(转载)

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云IoT安全运营中心-Link SOC,安全运营托管功能发布
Link SOC(Security Operation Center)物联网安全运营中心,SOC的构建结合了阿里云大数据强大的安全情报、风险检测和分析能力及人工智能技术,将安全保护贯穿于物联网设备的开发、测试、生产、接入和运营的整个周期之中,同时提供漏洞修复、异常行为阻断和优化防护策略等响应和处理措施,提供了全生命周期的安全管理能力。
2099 0
使用OpenApi弹性释放和设置云服务器ECS释放
云服务器ECS的一个重要特性就是按需创建资源。您可以在业务高峰期按需弹性的自定义规则进行资源创建,在完成业务计算的时候释放资源。本篇将提供几个Tips帮助您更加容易和自动化的完成云服务器的释放和弹性设置。
17699 0
【X-Pack解读】阿里云Elasticsearch X-Pack 安全组件功能详解
阿里云Elasticsearch集成了Elastic Stack商业版的X-Pack组件包,包括安全、告警、监控、报表生成、图分析、机器学习等组件,用户可以开箱即用。接下来小编将在【X-Pack解读】系列里解读各个Elasticsearch X-Pack 组件功能。
9230 0
网站安全检测对帝国CMS代码的后台功能性安全测试
最近我们SINE安全在对帝国CMS系统进行代码安全审计的时候,发现该系统存在网站漏洞,受影响的版本是EmpireCMS V7.5,从帝国官方网站下载到本地,我们人工对其代码进行详细的漏洞检测与安全代码分析。
2305 0
+关注
2248
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
OceanBase 入门到实战教程
立即下载
阿里云图数据库GDB,加速开启“图智”未来.ppt
立即下载
实时数仓Hologres技术实战一本通2.0版(下)
立即下载