自从在越来越多的各种平台注册了账号后，记密码简直就是人生一大难事！

用一样的密码吧，不安全！

但是如果都用不一样的密码

几十个都不带重样的

根本记不住啊！

幸好，目前大部分的浏览器都有自动填充密码的功能，当用户登录邮箱、新浪微博网页时，这项功能可以免去记录帐号、密码的步骤，给用户节省下不少时间。

但是，它的安全性在过去近 10 年来其实都在受到质疑，自动填写的危险性在于它可能被黑客利用，盗取存储的个人信息，包括信用卡、住址、帐号密码等。

这件事最近被芬兰网页开发者 Viljami Kuosmanen 再次提出，他解释了黑客可能的攻击手段。由于多数自动填充功能一次性会将网页上的空白文本框填满，并且提供过多的用户个人信息。

黑客可以在流氓网站上将部分文本框隐藏，设置为用户不可见，从而盗取相应的信息。

下面这张 Gif 图可能比较好地解释了这背后技术，这位开发者输入了名字和邮箱，但让网页悄悄索取了你保存在自动填充里的更多个人信息。

右下方框出来的部分就是获取的用户信息，还包括了他所在公司、手机号等更多的信息。

Viljami Kuosmanen 称，包括Chorme、Safari，以及那些密码保存服务在浏览器上提供的扩展工具版本，例如LastPass、1Password等，都存在同样的问题，基本上也都是默认开启自动填充。Firefox据称是相对安全的浏览器，只因为它不具备填充多个文本框的能力。

对此，Google和苹果两家公司，暂时还没做出公开回复。而1Password 等公司称，他们正在尝试解决。不过，这件事情被发现差不多有 10 年历史，科技公司即便现在回应也不会对问题有太好的解决方案。

自动填充的危险性最早在网上引起大量讨论的，可能是在 2006 年。Safari浏览器相应的问题，在 2009 年被瑞士开发者 Patrice Neff 提出，Safari 浏览器直接调用了电脑上存储的用户住址信息。但苹果对此没有做出更多的反馈。

事实上，即便有危险性，用户也很难离开这项功能。“（解决方案就是关闭自动填充）这是对的，但谁会想要关闭自动填充？”Enderle Group 公司的首席分析师Rob Enderle称，“这是一个很方便的功能。”开发者 Viljami Kuosmanen 在 Twitter 上也回复称，他认为这是功能设计考虑不周。

当然，普通用户仍然可以对这些浏览器存储的信息进行管理。在浏览器的设置里选择关闭自动填充，或者是选择删除信用卡、住址等敏感信息，另外需要提醒的是，用户也要小心浏览的网页。

来源：好奇心日报