浏览器的自动填充(autofill)密码功能是个相当便利的工具。当用户登录邮箱、新浪微博网页时,这项功能可以免去记录帐号、密码的步骤,给用户节省下不少时间。
主流的浏览器Chrome、Safari等都支持这项功能,但它的安全性在过去近10年来其实都在受到质疑,自动填写的危险性在于它可能被黑客利用,盗取存储的个人信息,包括信用卡、住址、帐号密码等。
这件事最近被芬兰网页开发者Viljami Kuosmanen再次提出,他解释了黑客可能的攻击手段。由于多数自动填充功能一次性会将网页上的空白文本框填满,并且提供过多的用户个人信息。
黑客可以在流氓网站上将部分文本框隐藏,设置为用户不可见,从而盗取相应的信息。
这张Gif图可能比较好地解释了这背后技术,这位开发者输入了名字和邮箱,但让网页悄悄索取了你保存在自动填充里的更多个人信息。
右下方框出来的部分就是获取的用户信息,还包括了他所在公司、手机号等更多的信息。
Viljami Kuosmanen称,包括Chorme、Safari,以及那些密码保存服务在浏览器上提供的扩展工具版本,例如LastPass、1Password等,都存在同样的问题,基本上也都是默认开启自动填充。Firefox据称是相对安全的浏览器,只因为它不具备填充多个文本框的能力。
科技博客Gizmodo 试图联系Google 和苹果两家公司,但暂时还没有收到回复。1Password 等公司称,他们正在尝试解决,还谈了用户对浏览网页信任度的问题。不过,这件事情被发现差不多有10年历史,科技公司即便现在回应也不会对问题有太好的解决方案。
自动填充的危险性最早在网上引起大量讨论的,可能是在2006年。Safari 浏览器相应的问题,在2009年被瑞士开发者Patrice Neff 提出,Safari 浏览器直接调用了电脑上存储的用户住址信息。但苹果对此没有做出更多的反馈。
事实上,即便有危险性,用户也很难离开这项功能。“(解决方案就是关闭自动填充)这是对的,但谁会想要关闭自动填充?”Enderle Group 公司的首席分析师 Rob Enderle 称,“这是一个很方便的功能。”开发者 Viljami Kuosmanen 在 Twitter 上也回复称,他认为这是功能设计考虑不周。
当然,普通用户仍然可以对这些浏览器存储的信息进行管理。在浏览器的设置里选择关闭自动填充,或者是选择删除信用卡、住址等敏感信息,另外需要提醒的是,用户也要小心浏览的网页。