浏览器自己主动填表安全漏洞：查看浏览器保存的password

我通常会使用浏览器保存自己的帐号和password，下次登录就无需又一次输入，很方便。而像傲游这种浏览器还提供了自己主动同步功能，让我一个傲游帐号。就带着互联网上全部帐号password去旅行。

昨天我忽然在想。全部浏览器都说自己非常安全，加密非常到位，可以有效保证帐号password的安全，但事实是否真的如宣传的那样靠谱？

简单一试，果然就发现了漏洞。IE、Chrome、QQ浏览器、傲游浏览器、搜狗浏览器……总之，我试验过的全部可以通过按“F12”调出开发人员工具的浏览器。都有这个安全漏洞…

如今进入正题，我们以谷歌Chrome浏览器登录百度为例。

1、打开Chorme，进入相应的登录框。

因为之前保存了帐号password，因此浏览器会帮你自己主动填写。

2、按“F12”，调出浏览器的开发人员工具，接下来请參考图片上的说明，按下面步骤进行操作：

①选择元素选取工具；

②把鼠标移动到password框上方。password框被自己主动选中变为高亮，点击一下password框就可以确认选中；

③你会发现，网页源码中也有一段代码被自己主动高亮。这就是password框相应的网页元素。在“id”标签的内容上双击。将内容复制下来。

（为了节约版面。以下这张图是由多张截图合成的，与实际显示有所不同，但不影响结果）

3、继续參考图片说明。运行下面步骤：

①切换到“Console”选项卡。即控制台；

②输入命令 document.getElementById(" 刚才复制的password框id ").value 。并按回车运行；

③从控制台的输出中。获取password，注意password不包括两端的引號。

watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/SouthEast" alt="">

怎么样，是不是很很easy？不论什么一个懂点 JavaScript 的人都知道这个漏洞发现得实在是太没有技术含量了。然而最令人担忧的就是，假设不论什么一个人，都可以通过我这样几张图片。就简简单单地学会。那以后是否还可以放心地把自己的电脑交给别人使用呢？要知道。熟练的话，这个步骤完毕起来不须要10秒…

有漏洞怎么办？想办法补呗。我自己大概想到的几种解决措施：

浏览器方面：

1、自己主动填写登录表单时，password框先採用随机字符，待用户发送登录请求时再填入真实password，这种话。用上面的方法就仅仅能查询到错误的password

2、来我大深信服（深圳市深信服电子科技有限公司）挖几个安全攻防project师。提升下安全水平……o(∩_∩)o 没错。我在给公司打广告……

用户方面：

1、打死不能用浏览器保存重要的帐号password。比方网银，这个不能偷懒。

2、要有自己的多套password：

①在腾讯、网易一类比較信任的站点。用自己最经常使用的password；

②在CSDN等比較可信的站点，使用第二套password。

③在一些纯粹为了下载点资源而注冊的站点，或是无名站点，使用一套能够昭告天下的password。

这样就算有一家站点卖了你的资料，或是被黑客攻击，也不至于全盘沦陷。

3、尽量不要把自己的电脑借给别人使用…

本人是还没毕业的本科应届生，对前端的知识了解非常浅，文章必有错漏之处。还望大神指正。