微软的Chromium新提议:表单自动填充挂钩系统认证
想象一下当朋友使用计算机和web浏览器写入在线表单数据时,浏览器尝试自动完成信息的情景。 这样,如果没有你的许可,电子邮件和用户名等信息会自动输入并显示出来。
尽管在允许他人使用你的电脑之前清除这些自动填充的信息,但是微软表示这个问题已经受到了很多用户的关注。用户还担心有人在未经允许的情况下,通过自动填充行为访问其账户。
例如,如果您在浏览器中保存了社交媒体网站的凭据,并且退出了帐户并允许您的朋友使用浏览器,则自动填充可能仍会自动注入或建议您的信息。微软表示:“这能够让用户B轻松点击一下就能登录用户A的帐号。此外用户B也可以轻松的获得已经保存的密码明文。”
为此微软推荐浏览器的自动填充功能应该和主密码功能挂钩,这样在向好友或者家人分享设备的时候就不会出现上述情况了。此主密码功能适用于所有自动填充信息,而不仅仅是已受保护的密码。
在Chromium自动填充代码路径中,微软还建议默认关闭该功能,并将其同系统认证所绑定。也就是说说,Chromium的自动填充将会使用Windows 10系统密码管理器中的身份验证逻辑,并对配置成功的有效时间进行设置。
微软指出:“做出这一决定是为了确保在提示用户要访问其保存的凭据之前,不提示用户进行身份验证。”
近日Mozilla也宣布在今年晚些时候发布的Firefox 76稳定版更新中,Mozilla将启用主密码来保护用户已经保存的网站密码。该功能已经在最新的Nightly通道版本中上线,根据路线图将于5月5日随稳定版上线。伴随着越来越多的人在线访问敏感服务(例如银行账户),此举变得非常有意义。