每當注冊一個新網站,又或者填寫收貨位址的時候,看着一大堆的文本輸入框就覺得頭痛。此時,相信大部分人都會用到浏覽器自帶的自動填充功能,一鍵填充如姓名、電話、位址等資料,能夠省下不少時間。
不過,就在最近,一個芬蘭的網頁開發者和黑客 viljami kuosmanen 發現了一個重大的潛在安全漏洞,指出像 chrome、safari 和 opera 這樣帶自動填充功能的浏覽器,以及提供同樣功能的插件和工具(如 lastpass)會洩露使用者的隐私。
黑客通過簡單的手段,就能夠選擇性隐藏頁面上的文本輸入框,而這,就意味着浏覽器會在你不知情的情況下,把隐藏的輸入框都給自動填充了。如下圖 viljami 的示範,雖然測試網頁上隻要求輸入姓名和郵箱,但是按送出鍵後,抓取資訊顯示,除了這兩個資訊以外,使用者的電話、位址等資訊也上傳了。
雖然自網購興起後,我們的名字、位址、電話等個人資訊就已經洩漏得差不多了。但對于一些海淘達人來說,還會經常需要填寫如信用卡卡号、有效日期和安全碼等這些敏感資訊,就涉及到了個人資金的安全。而更讓人擔心的是,據 viljami 稱,這個漏洞已經存在多年了。
由于不支援一鍵表單填充,firefox 需要使用者逐個點選輸入框才會給出輸入建議,而他們自然也就點選不了隐藏的輸入框。除了可以選擇使用 firefox 避開漏洞以外,使用者也可以選擇手動輸入(檢查網頁源代碼也不失為一個方法),或者直接把浏覽器的自動填充功能給關掉。