谈谈360浏览器保存密码的差异

多事之夏,最近黑阔大牛们经常光顾我们网站,不甚荣幸,也让我们老大没少加班。上指纹系统,开safe_mode,重新编译PHP等等,安全警戒一度提到最高。

在用户登录方面,为了用户密码安全,我们在用户输完密码点击提交后,js自动给密码加上MD5,然后再传输到服务器。这样即使密码被嗅探到了,也是加密后的密码。

先看代码:

 1 <script>
 2 functionMD5(){
 3 //MD5加密算法,细节省略
 4 }
 5
 6 functioncheck(){
 7 //提交前将用户的密码用MD5加密
 8 form.password.value=MD5(form.password.value);
 9 returntrue;
10 }
11 </script>
12 <form onsubmit="return check();">
13 用户名:<input type="text"name="username"><br>
14 密码:<input type="password"name="password"><br>
15 <input type="submit"value="提交">
16 </form>

假设浏览器已经开启了保存密码功能,用户在输完账号密码并提交后,点击保存密码。在这一过程中,主要发生了如下几个事件:

用户填写用户名密码 → 点击提交 → 触发check() → 将密码输入框的密码MD5加密 → 将数据提交到服务器

我们的浏览器是在哪一步记录了密码呢?

第二步,在点击提交按钮时,浏览器抓取了输入框的值,并保存下来,而后面发生的事情,它并不关心。 那么我们下次登录时,会发现密码输入框仍然是明文密码(虽然我们看不到,但可以通过密码长度判断)。

但是,只有在360浏览器中,保存的密码是长长的32位MD5加密后的密码。也就是说,360浏览器并不是在用户点击提交后记录输入框的内容,而是在最后一步,将数据提交到服务器时,360浏览器截取了这部分数据,并保存下来。

因为密码存在用户自己电脑上,并且不容易查看,所以从安全性考虑,不管保存明文还是密文,没什么区别。但是从保存密码的方式来看,360通过截取用户数据来记录密码,实在太流氓了。

91ri.org:文章写的很清楚了 就不说了

link:http://www.zyday.com/archives/567.html

时间: 2024-11-06 09:50:59

谈谈360浏览器保存密码的差异的相关文章

关于浏览器保存密码的那些事

今天在论坛帖子中看到了一篇文章,关于chrome浏览器中保存的密码安全性的问题.我自己试了下,吓我一跳.可以查到我所有保存的用户名和密码.查看方式是在chrome浏览器中输入chrome://chrome/settings/passwords.弹出如下 知道了吧,在浏览器保存密码真的不安全哦!关于浏览器保存密码更详细的介绍请点击下面的链接. http://blog.jobbole.com/30922/ http://www.howtogeek.com/70146/how-secure-are-y

浏览器保存密码请慎重!!

浏览器保存密码!!慎重!! 谷歌: 火狐: 虽然密码忘记的时候,也可以从浏览器中查看到自己忘记的密码.但是公共计算机最好不要保存密码,细思极恐. 原文地址:https://www.cnblogs.com/mangshebaotang/p/10908361.html

各大浏览器保存密码的文件

很多浏览器都自带了一个功能,那就是自动保存密码,第一次输入密码之后会提示你保存密码(有的提示是"自动填写"),然后下次登录相同网站的时候不用再次麻烦地输入密码.虽然方便,不过不安全.因为这些数据都是保存在硬盘上的.我最开始想的是怎么查看到别人的星号密码,有的浏览器如搜狗有那种星号密码查看器可以查看星号密码,不过不是所有浏览器都有这个扩展,或者说不是所有的网站都支持你查看,毕竟有的网站安全措施做得很好,于是我突然想到,能不能通过获得别人浏览器的配置文件中和这个自动保存密码功能相关的文件,

浏览器保存密码后自动填充问题

问题描述 在浏览器中进行登录操作时浏览器往往会问我们是否需要记住密码,当我们点击了记住密码后,发现浏览器会自动填充此域名下已经保存的账号密码,给用户带来不便.加了HTML5 中的新属性autocomplete="off" ,但是并没有产生效果. 浏览器自动填充机制 反复测试后发现浏览器自动填充机制是满足:页面里有一个type=password的input且这个input前面有一个type=text的input的时候就会进行自动填充.firefox和360浏览器的处理方式是:只要检测到页

360浏览器将密码框显示成明文密码问题解决

很早之前360浏览器就出现了把密码框显示成了明文,因自己的电脑一直没出现这样的bug无从下手,今天又出现了这个问题, 只有网上寻求解决方案,密码框使用了html5的属性placeholder和jquery.placeholder.min.js: <input class="input-large span12" name="password" id="password" type="password" placehold

登录被浏览器记住密码后,密码填充到密码框问题

一般登陆之后浏览器会询问是否记住密码,如果把密码记住在浏览器上,下次登陆的时候浏览器会把用户名和密码自动填充到登录页面.工作中做项目提测后,测试提出360浏览器记住密码后会自用把登陆账号和密码填充到添加账号页面和修改账号页面,经过本地测试后发现确实存在该问题. 类似于这样: 从用户的角度来说 这么整肯定不行,即使是浏览器的问题.通过组内人员的一步一步探索最终找到解决办法: 1.通过网上搜索 发现有些文章是提供设置设置文本框的autocomplete属性为off,根据该方法修改后发现并没有解决问题

如何禁用Chrome浏览器的自动保存密码提示

说明,在网页开发中,在表单中加入autocomplete="off"后,IE和FF不会提示保存密码,但是用Chrome浏览器登录系统时,会弹出自动保存密码的提示,从安全的角度考虑,需要禁止浏览器的这个功能,提升系统安全性. 大部分浏览器都是根据表单域的type="password"来判断密码域的,所以针对这种情况可以采取"动态设置密码域"的方法: <input type="text" name="passwor

清除input框对浏览器保存的用户名和密码自动填充问题

清除input框对浏览器保存的用户名和密码自动填充问题: type类型写如下写法,聚焦的时候type类型为"password" <input ng-model="getpwd" name="password" type="text"  type="password" autocomplete="off"  onfocus="this.type='password'&quo

如何查看浏览器缓存密码自动保存的密码

我们在使用浏览器自动保存密码这个十分方便,但是这个并不十分安全.下面我们以Chrome浏览器为例(其他浏览器类似)演示一下如何查看我们浏览器自动保存的密码. 比如我们现在这个样子密码是密文的: 现在我们按F12调出控制台: 接着我们就会跳转到这: 再接着我们只需要将 type="password" 删掉,或将password改成任意字符,这样密码就由密文变成明文的了: 原文地址:https://www.cnblogs.com/cnex/p/9557687.html