totoro625

@zed1018 #41 回到浏览器的话题
OP 的疑问概括一下就是：自己在 Chrome 本地保存的隐私数据，却被 Microsoft 上传到云端
这里面压根就不是隐私数据会不会泄露的问题，而是我不想上传的数据被上传了

问题发生的本质是：1 、Chrome 没做“真”加密； 2 、微软“偷”数据

今天是偷密码，明天是偷文档和照片，微软永远是那个微软 /t/1096908 /t/1097761 /t/977705

@zed1018 #38
1 、我自己的 Chrome cookie 被盗
Google 当天全部登出，推特被封 200 天后申述回来，Instagram 永久丢了
其他损失就不得而知了

2 、微软总能在你疏忽的时候“偷”到 Chrome 的密码，然后很贴心的帮你上传到云端

3 、在线的密码管理软件数据泄露并不能证明另一个带在线的密码管理功能的软件更加安全，相反的只能证明他们都没那么安全
保存在 Chrome ，面临微软+谷歌的双重云端不安全 + 本地不安全
至于离线密码管理软件的安全漏洞，个人觉得内网安全性大于外网

@zed1018 #37 YubiKey：感谢不安全的设计，才有他的市场空间
ssh key 的密码可以绕过吗？我不是程序员不清楚

ssh key 不会标记他是哪台服务器的 key ，相比 ssh key 每个人的电脑都有基于 Chromium 的浏览器

@zed1018 #35 不需要复制一份官方“冠冕堂皇”的解释
事实就是设计缺陷+暗示隐瞒=导致恶果

浏览器内部设置一套解密动画，让用户输入密码解密，“误以为”数据是被加密的，从而放松警惕造成更大的损失
如果我不是接触了 V2EX 和 github ，我可能一辈子都沉浸在“被保护”的谎言内
压根就不会想到，用户自己需要靠密码读取的内容，其实是一个保险柜旁边挂着钥匙这样的加密保存

PS：官方的辩解
1 、浏览器是没问题的，我们有额外的杀毒软件保护你的系统
必装软件、驱动级软件、过白软件....哪一个都能逃过
QQ/微信/输入法，品牌机 BIOS ，甚至是一次简单的 Windows update ，就能自动安装上了
2 、本地数据加密将使小偷更难获取存储的数据
攻击者再读取一下加密密码，人家在自己的电脑上解密不就好了
意思是分成两个文件保存增加了盗取的难度吗

@zed1018 #32 搜索关键词：chrome login data 解密
密匙文件放在了 C:\Users\***\AppData\Local\Google\Chrome\User Data\Local State 中的 encrypted_key 字段里
密码信息放在 C:\Users\***\AppData\Local\Google\Chrome\User Data\Default\Login Data 中的 sqlite 数据库中

严格来说，是加密保存，但是密码就贴在旁边，大家都称之为明文保存

最近看网友评测，ipv6 不限速，ipv4 拼命限速

@codelover612 #12 显示一串 serectkey 、二维码和“ListenAndServe: listen tcp :18612: bind: address already in use”
然后 netstat -tunlp | grep 18612 显示就是这个程序自己占用的

江苏移动到河南电信到江苏移动，白天正常，晚上 web 都加载不出来