一不小心就說漏嘴!自動填寫功能被爆有重大安全風(fēng)險
每當(dāng)注冊一個新網(wǎng)站,又或者填寫收貨地址的時候,看著一大堆的文本輸入框就覺得頭痛。此時,相信大部分人都會用到瀏覽器自帶的自動填充功能,一鍵填充如姓名、電話、地址等資料,能夠省下不少時間。
不過,就在最近,一個芬蘭的網(wǎng)頁開發(fā)者和黑客 Viljami Kuosmanen 發(fā)現(xiàn)了一個重大的潛在安全漏洞,指出像 Chrome、Safari 和 Opera 這樣帶自動填充功能的瀏覽器,以及提供同樣功能的插件和工具(如 LastPass)會泄露用戶的隱私。
黑客通過簡單的手段,就能夠選擇性隱藏頁面上的文本輸入框,而這,就意味著瀏覽器會在你不知情的情況下,把隱藏的輸入框都給自動填充了。如下圖 Viljami 的演示,雖然測試網(wǎng)頁上只要求輸入姓名和郵箱,但是按提交鍵后,抓取信息顯示,除了這兩個信息以外,用戶的電話、地址等信息也上傳了。
雖然自網(wǎng)購興起后,我們的名字、地址、電話等個人信息就已經(jīng)泄漏得差不多了。但對于一些海淘達(dá)人來說,還會經(jīng)常需要填寫如信用卡卡號、有效日期和安全碼等這些敏感信息,就涉及到了個人資金的安全。而更讓人擔(dān)心的是,據(jù) Viljami 稱,這個漏洞已經(jīng)存在多年了。
由于不支持一鍵表單填充,F(xiàn)irefox 需要用戶逐個點(diǎn)擊輸入框才會給出輸入建議,而他們自然也就點(diǎn)擊不了隱藏的輸入框。除了可以選擇使用 Firefox 避開漏洞以外,用戶也可以選擇手動輸入(檢查網(wǎng)頁源代碼也不失為一個方法),或者直接把瀏覽器的自動填充功能給關(guān)掉。
關(guān)閉 Chrome 的自動填充功能:設(shè)置 – 點(diǎn)擊“顯示高級設(shè)置” – 去掉“密碼和表單”下面的勾