當我在android中學習默認瀏覽器時,我看到它保存的密碼沒有加密。 它是安全威脅嗎? 有什麼辦法可以讀取這些密碼並濫用它們的android應用程序(就此而言,可以讀取瀏覽器歷史記錄)? 有什麼辦法來加密這些密碼?默認保存的密碼android瀏覽器
更新:我看到保存在/data/data/com.android.browser/webview.db文件中的密碼。 默認瀏覽器的cookies是否也保存在這個文件中? 如果這是真的,則站點訪問此文件以讀取和寫入cookie,然後駐留在站點上的惡意應用程序可以訪問webview.db。
密碼必須以純文本形式提供給瀏覽器,因爲這是它被髮送到目標頁面的方式。在適用於Android的Firefox和許多桌面瀏覽器中,可以選擇使用「主密碼」來保護整個數據庫。這似乎不適用於Android版Chrome或默認瀏覽器。
在這一點上,你必須考慮你的威脅模型是什麼。 Android應該阻止應用程序訪問其他數據;如果這是無缺陷的,那麼您可以免受其他應用程但是,如果有人抓住了Android設備,並且可以解鎖它們,他們可以儘可能地讀取密碼。使用煩人的長密碼短語進行全面設備加密可以幫助抵禦這種威脅。
同樣,我期望,適用於歷史。但是,所有三種瀏覽器都允許您通過設置刪除Cookie和歷史記錄。在桌面上,Firefox可以在退出時自動啓動,但不能在Android版本上運行;它仍然是一個手動操作。
最後,所有三項都允許您打開未保留歷史記錄和Cookie的「隱私」或「隱身」標籤。如果您的瀏覽活動很敏感,這可能是一個不錯的選擇。
彼得TREI,CISSP
還有瑣碎的答案 - 如果你想讓你的密碼的安全,不要讓任何瀏覽器保存。 –