这是一个创建于 371 天前的主题,其中的信息可能已经有所发展或是发生改变。
现在电脑上有谷歌浏览器登录一个账号,edge 登录另一个账号, 现在我的操作来了,先卸载 edge ,用 geek 卸载,然后重新从官网下,下载完成之后打开,之前 edge 登录的账号还在登录, 并且 edge 把谷歌浏览器账号的书签、历史记录、扩展,甚至密码都导入到 edge 的账号中, 有没有大佬知道为啥会这样?
 |
1
AoEiuV020JP 2023-10-31 11:38:56 +08:00  1
听起来没什么问题,
卸载保留用户数据也是常见的了, win 版 chrome 用户数据本来就是默认不加密的谁都能读取一直是这样的, |
 |
2
coinxu 2023-10-31 11:40:06 +08:00
除非你没有锁屏的习惯,要不然确实不安全
|
 |
3
opengps 2023-10-31 11:40:46 +08:00 1
edge 会自动从 chrome 里导入东西
|
 |
4
HomeZane 2023-10-31 11:43:11 +08:00 3
你这标题,是骗人进来吗
|
 |
5
hanssx 2023-10-31 11:43:11 +08:00
用户数据是在你本地的某个浏览器目录的,它应该是读取了 chrome 的。
|
 |
6
fzls 2023-10-31 11:43:15 +08:00
程序目录和数据目录不在同一个地方吧-。-你卸载的时候没有干掉数据目录
|
 |
7
qinyui 2023-10-31 11:43:50 +08:00 1
@AoEiuV020JP 啊?那 win 上的任何软件岂不是都可以随意读取 chrome 里保存的所有密码了?
|
 |
8
retNu1l 2023-10-31 11:47:52 +08:00
mimikatz 了解一下,数据保存在本地的,你应该是安装新浏览器是授权导入其他浏览器数据了。
|
 |
9
zealotxxxx 2023-10-31 11:48:09 +08:00
你的密码都是本地明文保存的,同浏览器读取很正常。你都把软件安装到本地了,如果是病毒就算不是 edge 你也出事儿了。
密码的性质决定了不可以走哈希,最多搞加密,但是你就算加密也是密钥放本地,多此一举。 https://softwareengineering.stackexchange.com/questions/141402/how-does-a-web-browser-save-passwords |
 |
10
vikaptain 2023-10-31 11:49:43 +08:00
你卸载只删除了程序文件,没有清空数据。
浏览器的密码都是明文存储的 你应该是在 edge 启动的时候导入了 chrome 的数据,所以 chrome 的记录同步到了 edge 中。 都是正常行为,没有发现不安全的地方。 |
 |
11
wy315700 2023-10-31 11:50:15 +08:00
|
 |
12
ysc3839 2023-10-31 11:51:33 +08:00 via Android 3
@AoEiuV020JP @qinyui
Windows 和传统桌面 Linux 没有严格的沙盒机制,一个程序如果不依赖外部密码就能读取某些数据的话,另一个程序也能做到。 macOS 对此的解决方案是,系统的钥匙串可以分应用限制读取,比如说是 A 应用创建的,那就只有 A 应用能读取,其他应用要读取的话需要管理员权限。而 A 应用的识别则是通过包名和签名。需要注意的是,macOS 非商店应用没有文件沙盒,A 应用是能读取 B 应用的各种数据的,只能通过数据加密来保证安全。 Android 和 iOS 的解决方案是,不同应用数据隔离,应用只能读取自己的数据。 |
|
13
AoEiuV020JP 2023-10-31 11:52:15 +08:00
@qinyui #7 确实是这样的,方便和安全不可兼得,
chrome 密码实际上是加密的,只不过加密方式和密钥本身是不加密的,等于不加密, 你想想,如果 chrome 真的把数据加密了,那你用的时候都要解密是不是很麻烦,实际上你使用 chrome 并不涉及解密对吧, linux 版 chrome 默认第一次打开就会问你要密码,设置以后每次启动 chrome 都要输入密码解锁,麻烦的一匹,我都是设置空密码,就不用解密, |
 |
14
tool2d 2023-10-31 11:56:57 +08:00
我记得 windows 的 chrome 数据都是和登录账号绑定的,你用另外一个帐号登录 windows ,应该就没办法导入浏览器密码了。
从这点意义上来说,数据是安全的。 |
 |
15
shyangs 2023-10-31 11:57:21 +08:00 1
Firefox 設了主控密碼,(網站登入密碼)就是真加密.
|
 |
16
declandragon 2023-10-31 12:14:18 +08:00
edge 是微软的,windwos 也是微软的,他们在系统层面想做啥就做啥。是这个意思吧?
|
 |
17
Lightbright 2023-10-31 12:31:43 +08:00 via Android 1
哥,我以为你要爆几个 Chrome 0day 出来呢
|
 |
18
EVANGELIONAir 2023-10-31 13:14:23 +08:00
首先用户目录和程序目录是独立的,你别告诉我你 linux 卸载软件包能够把你用户目录也给删的,这不可能,其次,edge 首次打开的引导界面就会 [明确弹出] 是否定期导入 chrome 的数据 的选项
|
|
20
ysc3839 2023-10-31 13:23:55 +08:00 via Android 1
@LOGOSJ 钥匙串是不行的,除非有管理员权限。但是文件是可以的,非商店应用,只有在访问桌面、下载等特定的几个文件夹时会提示用户授权,访问别的应用的配置文件是不需要授权的。
可以下载个第三方的终端应用,自己输入命令访问试试。 |
 |
21
hez2010 2023-10-31 13:25:15 +08:00 1
1. edge 和 chrome 用的都是 chromium ,密码管理是在 chromium 层面做的,所有使用 chromium 内核的浏览器都可以相互导入数据和密码。
2. chromium 把用户密码加密后存储在本地文件,但是加密用的密码是明文存储的,所以任何的程序其实都能访问你的密码 3. Windows 也有像 macOS 钥匙串那样的安全的凭据管理器,并且以前老 edge 和 IE 都是用那个的,非常安全。但无奈 chromium 不用这玩意非得自己整了个完全不安全的实现,即使在 macOS 上 chromium 也没用苹果的钥匙串,所以在 macOS 上 chromium 内核的浏览器的密码存储也不安全。 4. 有人说到浏览器可以设置主密码在访问密码前输入验证,其实那个只是是浏览器的 UI 层面做的,而不是 chromium 层面和密码文件上做的,只是用来防未经允许自动填充了密码这种情况的,底下的密码存储仍然不安全。 |
 |
22
duanxianze 2023-10-31 13:28:39 +08:00
@LOGOSJ 有啥可怕的呢?就好像你家有个钱包,谁进来都能拿,你要做的是锁上门,而不是发明一个别人摸不着的钱包,类比电脑,你应该锁屏,这样就不会泄露,还担心,可以全盘加密
|
|
23
duanxianze 2023-10-31 13:31:07 +08:00
@ysc3839 再补充一下,所以 chrome 显示密码明文的时候是让你校验系统开机密码,只要保证你对当前用户具有绝对的控制权就好了
|
 |
24
RanKaede 2023-10-31 13:45:08 +08:00
|
 |
25
pkokp8 2023-10-31 13:47:42 +08:00
数据库可以直接读 cookie
|
 |
27
8355 2023-10-31 13:59:51 +08:00
如果按照你说的,edge 只需要不读取对应目录数据就可以说明浏览器是安全的嘛?
|
 |
28
zhoust 2023-10-31 14:01:20 +08:00
哇 好不安全!再也不用浏览器了
|
 |
29
beixiao 2023-10-31 14:19:17 +08:00 via iPhone
你就是为了这么点事,就把大家叫出来啊😅
|
 |
30
nothingistrue 2023-10-31 14:25:32 +08:00 6
你必须知道,Windows 、Linux ,一直都是本地操作系统,而本地资源安全的重点,是防止外部入侵和多用户之间的资源隔离。对于同用户下,非病毒程序之间,是不做任何隔离的。虽然上层一直再鼓捣着一些外部防护措施,但内核这么多年一直都是这么干的,所以本质一直没变。
在以上体系下,别说 edge 、chrome 之间,就是 Firefox ,以及各种不搞特立独行的浏览器,它的书签、历史记录、以及密码,都是相互可读的。并且,其他软件也都是可以读的,只要你用得是同一个操作系统用户。这些都是合法的,杀毒软件不能管(而且视地方的不同,管了可能还要吃垄断官司)。 如果跟手机操作系统类比,那么 Windows 、Linux 上的每个程序,都相当于取得了所有权限的应用。所以不要随意装你不能 100%信任的任何程序。 现在回头来看,你就能发现 Win 11 这种,在内核还是本地多用户操作系统的前提下,强制绑定微软账户将其当作单用户网络终端——即手机操作系统的行为,是多么脑残。 |
 |
31
ColoThor 2023-10-31 14:46:51 +08:00
所以改用了 firefox
|
 |
32
Monl 2023-10-31 14:47:28 +08:00
Firefox 也可以一键导入 Chrome 密码,虽然知道就这样设计,但想想随便一个应用程序都可以读取还是挺膈应的,所以把 Chrome 密码全删了换 Keepass 了。或者用火狐,它有个主密码的功能,每次输入密码都需要主密码来解锁,就是有点麻烦。。
|
 |
33
stanshw 2023-10-31 14:57:23 +08:00
在设置里关掉 edge 的自动导入 chrome 数据!!!(默认开启)之前有一次发现每次 chrome 上一次关闭的网页都会在下一次 edge 的会话里出现,发现是这么个问题
|
|
34
ysc3839 2023-10-31 15:05:31 +08:00 via Android
@duanxianze 那个验证只是 Chrome 自己加的,实际上不需要也可以读取。
|
 |
35
someday3 2023-10-31 15:10:47 +08:00
基础太差了,建议少混论坛多读书
|
|
36
qinyui 2023-10-31 15:11:18 +08:00
@AoEiuV020JP 那确实太不安全了,电脑上任意一个软件都可以读取 chrome 里存储的密码泄露出去,书签浏览记录什么泄露倒是无所谓,关键是密码。。。以后尽量不用这个功能了。。。
|
 |
37
zgsi 2023-10-31 15:11:19 +08:00
亏你还是程序员。。。
|
 |
38
LandCruiser 2023-10-31 15:15:30 +08:00 via iPhone
@someday3 请问读什么书能增强此类常识呢?我是非科班出身,读操作系统吗?
|
|
39
hez2010 2023-10-31 15:22:58 +08:00
@nothingistrue
> 强制绑定微软账户将其当作单用户网络终端 但你可以在系统上登录多个微软账户来以多用户的方式来使用啊?不同用户之间的也不能访问对方的文件,除非有系统管理员权限。所以其实是多用户网络终端。 |
 |
40
lambdaq 2023-10-31 15:27:59 +08:00 1
首先,这个帖子是发在 程序员 节点的,那么我就要好好喷一喷现在的程序员了。
如果你是浏览器制造商,用户档案各种信息,存哪里呢?存文件对吧。而且一般都是存本地(否则断网的时候不给别人用浏览器了) 那么问题来了。你卸载 & 重新安装浏览器,是不是还是会去读同一份用户档案? 那凭啥就不能读取到同一份用户档案? |
 |
41
777777 2023-10-31 15:40:00 +08:00
https://support.google.com/accounts/answer/11350823?hl=zh-Hans 开启设备端加密功能就行,我为什么总感觉很多人的安全知识一直停留在几年前
|
 |
42
nzbstn 2023-10-31 15:48:00 +08:00
快速爬了一下楼 , 楼上许多人都提到了, edge 有个很骚的设置就是"与其他 windows 功能共享浏览数据", 打开这个功能就可以实现在 edge 和 chrome 之间无缝切换,
还有就是我也是在学 playwright 时候发现的, 不管你怎么卸载 edge 或者 chrome , 用户数据好像都不会删除, 只能找到文件, 手动删掉, 这才算移除了你在浏览器中的本地数据 "edgedev": r"C:\Users\$username$\AppData\Local\Microsoft\Edge Dev\User Data", "edge": r"C:\Users\$username$\AppData\Local\Microsoft\Edge\User Data", "chrome": r"C:\Users\$username$\AppData\Local\Google\Chrome\User Data", 这三个路径可以参考一下 |
|
43
nzbstn 2023-10-31 15:52:27 +08:00
保存密码的究极方案还得是第三方存储, 而不是依赖浏览器本身, 我最开始啥都不懂的时候玩电脑就是把密码存浏览器里, 然后重置系统, 密码全丢了, 现在想想感觉自己很蠢,
不过 keepass 还是蛮好用的, 至于每次都要主密码这个问题, 可以设置记住网站请求, 就不用每次都输入主密码了 |
 |
44
loolac 2023-10-31 15:56:26 +08:00
卸载之前退出浏览器当前登录用户试试?配置文件和用户数据都是和当前登录用户关联的,现在的浏览器很多都是一个用户一个配置,开启同步后会自动同步你的配置,本地删了只要重新登录,很多配置会自动同步下来。
|
 |
45
Recle 2023-10-31 16:24:23 +08:00
edge 有自动导入 chrome 全部数据的功能,并且默认开启。极其流氓。我在某一次弹页面的时候被强制唤醒 edge ,发现了这个玩意,从设置里找到了关闭按钮
|
 |
46
lizuoqiang 2023-10-31 17:07:11 +08:00 1
计算机非常不安全!
|
 |
47
SunsetShimmer 2023-10-31 17:23:10 +08:00
|
 |
48
holouser 2023-10-31 17:30:46 +08:00
现在看,小而美的扫码登录岂不是遥遥领先,Win 上普通用户使用就是很不安全
|
 |
49
yoyodad 2023-10-31 17:54:41 +08:00
任意一款 windows 软件都有权限读取 chrome password manager 的数据么?
|
 |
50
zhangchimr 2023-10-31 18:08:01 +08:00
亏你还是程序员+1……
|
|
51
someday3 2023-10-31 18:17:34 +08:00
@LandCruiser 没有专门解答这类问题的,建议别挑,什么都读,像《电脑报》这种简单一点的杂志可以找来看看,会将很多基础的东西。
|
 |
52
brsyrockss 2023-10-31 20:44:56 +08:00
@qinyui 啊?你才知道?
|
 |
53
9i5NngJHI4P7dm42 2023-10-31 21:23:52 +08:00
V2EX 也低龄化了吗
|
 |
55
jiangzm 2023-10-31 22:18:35 +08:00
这和浏览器有啥关系, 你这是本地应用权限问题,前提就是使用者是可信的
|
 |
57
mobpsycho100 2023-10-31 23:30:42 +08:00
我的方案是装 sandboxie 然后不同应用装不同 sandbox 里面
|
 |
58
zhw2590582 2023-10-31 23:30:46 +08:00
不是很正常吗
|
 |
59
iseki 2023-10-31 23:38:16 +08:00 via Android
@ysc3839 没有签名的程序 mac 是怎么处理的?非 mac 用户,交叉编译出来的程序也不会考虑 mac 下的要求
|
|
60
ysc3839 2023-11-01 00:04:05 +08:00 via Android
@iseki 目前 macOS 应用是强制要求签名的,不签名不给运行,不过不一定要花钱,可以自签名,自签名在打开时会提示未知开发者。
|
 |
61
Muniesa 2023-11-01 00:11:22 +08:00 via Android
同理,ssh 的私钥也非常不安全…
|
 |
62
Shilion 2023-11-01 00:15:43 +08:00
所以我觉得 Firefox 提供 MSIX 版是很大的优势
|
 |
63
foxridder3 2023-11-01 01:07:57 +08:00
当你的电脑不安全的时候,你硬盘上的任何东西都已经不安全了。
|
|
64
ysc3839 2023-11-01 01:43:21 +08:00 via Android
@Shilion AppX/MSIX 打包的应用既可以是 UWP 应用也可以是 Win32 应用,如果是 Win32 应用,仍然可以不受沙盒限制。另外,Win32 应用还是能读写其他 AppX 应用的私有数据。
|
|
65
iseki 2023-11-01 03:15:42 +08:00
@ysc3839 我用 GOOS=darwin go build 出来的程序似乎只是会弹一个警告对话框?通过一些技巧好像还是能运行的
|
|
66
ysc3839 2023-11-01 03:29:35 +08:00 via Android 1
@iseki 之前跟朋友测试过,没记错的话,设置里允许未知来源后,自签名的应用只需要右键打开再确认就行,直接双击会提示未知开发者。然后如果是系统自带解压工具解压的话,会被加上 quarantine 标记,然后整个程序包会被复制还是链接到一个特殊的位置去运行,但这不影响正常运行,似乎只会影响程序自更新。
然后不知道是 bug 还是什么原因,仅支持 ARM ,不是 x86 和 ARM 混合的应用,自签名后是无法右键打开的,会报什么错误,解决方法要不然是编译成混合版本,要不然主程序改个名,然后弄个 shell 脚本去 exec 真实的主程序。 |
 |
67
gransh 2023-11-01 03:41:34 +08:00
呃,,,这个问题有什么好讨论的。edge 是微软的,windows 也是微软的。edge 权限再大也没什么好奇怪的,微软要想作恶不要太容易。你都用 windows 还防 edge ,防得住嘛?
|
 |
68
bollld607 2023-11-01 08:24:40 +08:00 via Android
只有小白才用浏览器存密码,用浏览器记住密码的安全性甚至不如用记事本记密码,因为前者的文件路径是固定的,后者 txt 文件你想放哪都行。
|
 |
69
sloknyyz 2023-11-01 09:30:51 +08:00
电脑自己用没什么问题,要卖的话,最好重装系统
|
 |
70
Davic1 2023-11-01 09:48:21 +08:00
不要瞎 JB 起标题...
|
 |
71
wupher 2023-11-01 10:05:55 +08:00
data sandbox 的问题,12 楼说的很清楚了。
这与操作系统设计机制相关,和浏览器反而关系不大。 这个标题非常不准确。 |
 |
72
polarbearn 2023-11-01 10:23:45 +08:00
window 非常不安全!, 其他用户下载存放到 D 盘的文件,用另一个用户登录,竟然能看到这个文件!!!
大家要重视起来. |
 |
73
letwewell 2023-11-01 10:27:12 +08:00
window 非常不安全!, 其他用户下载存放到 D 盘的文件,用另一个用户登录,竟然能看到这个文件!!!
大家要重视起来. |
 |
74
SomeBodsy 2023-11-01 11:03:05 +08:00
啊!对!对!对!
|
 |
75
thepot 2023-11-01 13:31:47 +08:00
那我问一下,win 下面,什么软件能导出 chrome 的密码?
|
|
76
thepot 2023-11-01 13:35:36 +08:00
我试了一下,
win 中无需验证,即可导出明文密码 mac 中需要输入系统密码,才可以导出密码 |
 |
77
shiji 2023-11-01 13:37:04 +08:00
Firefox 开启主密码 别的软件就读不出来了。
这就是我换成 FF 的原因。 |
|
78
qinyui 2023-11-01 18:32:21 +08:00
我理解楼主,看看这篇: https://www.v2ex.com/t/872745
|
Select Language