https://blog.qife122.com/tags/%E5%AF%86%E7%A0%81%E7%AE%A1%E7%90%86%E5%99%A8/ Recent content in 密码管理器 on 办公AI智能小助手 Hugo zh-cn qife Thu, 02 Oct 2025 01:04:51 +0800 https://blog.qife122.com/p/%E4%BD%BF%E7%94%A8google%E5%AF%86%E7%A0%81%E7%AE%A1%E7%90%86%E5%99%A8%E7%AE%A1%E7%90%86%E9%80%9A%E8%A1%8C%E5%AF%86%E9%92%A5%E7%9A%84%E5%AE%8C%E6%95%B4%E6%8C%87%E5%8D%97/ Thu, 02 Oct 2025 01:04:51 +0800 https://blog.qife122.com/p/%E4%BD%BF%E7%94%A8google%E5%AF%86%E7%A0%81%E7%AE%A1%E7%90%86%E5%99%A8%E7%AE%A1%E7%90%86%E9%80%9A%E8%A1%8C%E5%AF%86%E9%92%A5%E7%9A%84%E5%AE%8C%E6%95%B4%E6%8C%87%E5%8D%97/ <h1 id="如何使用google密码管理器管理通行密钥">如何使用Google密码管理器管理通行密钥</h1> <p>Google希望您开始使用通行密钥。其愿景是&quot;朝着无密码未来迈进&quot;，允许您在Google密码管理器服务中存储通行密钥。对于支持此登录方式的网站，Google现在允许您生成、存储和同步通行密钥。问题在于实际找到一致的方法来实现这一点。</p> https://blog.qife122.com/p/%E6%B5%8F%E8%A7%88%E5%99%A8%E5%AD%98%E5%82%A8%E4%B8%8D%E5%AE%89%E5%85%A8%E7%AA%83%E5%AF%86%E6%9C%A8%E9%A9%AC%E5%A6%82%E4%BD%95%E6%B3%84%E9%9C%B2%E4%BD%A0%E7%9A%84%E5%AF%86%E7%A0%81%E4%B8%8E%E9%9A%90%E7%A7%81/ Sat, 13 Sep 2025 11:12:53 +0800 https://blog.qife122.com/p/%E6%B5%8F%E8%A7%88%E5%99%A8%E5%AD%98%E5%82%A8%E4%B8%8D%E5%AE%89%E5%85%A8%E7%AA%83%E5%AF%86%E6%9C%A8%E9%A9%AC%E5%A6%82%E4%BD%95%E6%B3%84%E9%9C%B2%E4%BD%A0%E7%9A%84%E5%AF%86%E7%A0%81%E4%B8%8E%E9%9A%90%E7%A7%81/ <h1 id="你的浏览器并非安全空间">你的浏览器并非安全空间</h1> <p><strong>Corey Ham //</strong></p> <h2 id="内容提要">内容提要</h2> <ul> <li>使用密码管理器替代浏览器存储密码、信用卡号和其他自动填充项目。</li> <li>个人安全：不要在浏览器中保存任何敏感信息，尤其是凭据。这些数据可能传播得比你想象的更远，并且可能被恶意软件访问。考虑从你选择的浏览器中删除所有凭据和自动填充内容。</li> <li>企业安全：阻止用户在浏览器凭据存储中保存凭据，并考虑阻止用户在企业托管主机上登录浏览器。如果可能，强制执行访问控制，阻止用户在非托管主机上登录浏览器。监控凭据滥用情况。</li> </ul> <h2 id="事件经过">事件经过</h2> <p>我在BHIS从事红队演练工作。这些演练旨在覆盖目标实体的最广泛攻击面。我们采用广泛的范畴进行操作——意味着我们可以攻击任何被识别为目标拥有的用户、计算机、应用程序或传真机，除非事先明确提供为范围之外。</p> https://blog.qife122.com/p/%E4%B8%80%E7%BD%91%E6%89%93%E5%B0%BD%E7%8E%B0%E4%BB%A3%E5%AE%89%E5%8D%93%E5%AF%86%E7%A0%81%E7%AE%A1%E7%90%86%E5%99%A8%E7%9A%84flag_secure%E8%AF%AF%E7%94%A8%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/ Thu, 11 Sep 2025 02:45:37 +0800 https://blog.qife122.com/p/%E4%B8%80%E7%BD%91%E6%89%93%E5%B0%BD%E7%8E%B0%E4%BB%A3%E5%AE%89%E5%8D%93%E5%AF%86%E7%A0%81%E7%AE%A1%E7%90%86%E5%99%A8%E7%9A%84flag_secure%E8%AF%AF%E7%94%A8%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/ <h3 id="问题背景">问题背景</h3> <p>几个月前，我偶然读到Mark Murphy 2016年关于安卓FLAG_SECURE窗口泄露的博客文章。这类漏洞已存在多年，因此我最初不确定是否还能在现代安卓应用中利用相同弱点。但事实证明我过于乐观了——经过简短调查，我发现该问题至今仍在许多密码管理器（及其他应用）中存在。</p> https://blog.qife122.com/p/%E4%B8%80%E7%BD%91%E6%89%93%E5%B0%BD%E7%8E%B0%E4%BB%A3%E5%AE%89%E5%8D%93%E5%AF%86%E7%A0%81%E7%AE%A1%E7%90%86%E5%99%A8%E4%B8%8Eflag_secure%E6%BB%A5%E7%94%A8%E6%BC%8F%E6%B4%9E%E8%A7%A3%E6%9E%90/ Tue, 09 Sep 2025 18:02:24 +0800 https://blog.qife122.com/p/%E4%B8%80%E7%BD%91%E6%89%93%E5%B0%BD%E7%8E%B0%E4%BB%A3%E5%AE%89%E5%8D%93%E5%AF%86%E7%A0%81%E7%AE%A1%E7%90%86%E5%99%A8%E4%B8%8Eflag_secure%E6%BB%A5%E7%94%A8%E6%BC%8F%E6%B4%9E%E8%A7%A3%E6%9E%90/ <h1 id="一网打尽现代安卓密码管理器与flag_secure滥用漏洞解析">一网打尽：现代安卓密码管理器与FLAG_SECURE滥用漏洞解析</h1> <p><em>22 Aug 2019 - 发布于 Lorenzo Stella</em></p> <p>几个月前，我偶然看到Mark Murphy在2016年发表的关于安卓FLAG_SECURE窗口泄露现状的博客文章。这类漏洞已经存在了一段时间，因此我不确定是否还能在现代安卓应用中利用同样的弱点。但事实证明，我过于乐观了。经过简短调查，我发现该问题至今仍在许多密码管理器应用（及其他应用）中存在。</p> https://blog.qife122.com/p/%E6%B5%8F%E8%A7%88%E5%99%A8%E5%B9%B6%E9%9D%9E%E5%AE%89%E5%85%A8%E7%A9%BA%E9%97%B4%E5%AF%86%E7%A0%81%E7%AE%A1%E7%90%86%E5%99%A8%E4%B8%8E%E7%AA%83%E5%8F%96%E8%80%85%E6%97%A5%E5%BF%97%E7%9A%84%E9%A3%8E%E9%99%A9%E8%AD%A6%E7%A4%BA/ Tue, 09 Sep 2025 08:22:42 +0800 https://blog.qife122.com/p/%E6%B5%8F%E8%A7%88%E5%99%A8%E5%B9%B6%E9%9D%9E%E5%AE%89%E5%85%A8%E7%A9%BA%E9%97%B4%E5%AF%86%E7%A0%81%E7%AE%A1%E7%90%86%E5%99%A8%E4%B8%8E%E7%AA%83%E5%8F%96%E8%80%85%E6%97%A5%E5%BF%97%E7%9A%84%E9%A3%8E%E9%99%A9%E8%AD%A6%E7%A4%BA/ <h1 id="浏览器并非安全空间">浏览器并非安全空间</h1> <p><strong>Corey Ham</strong></p> <h2 id="内容提要">内容提要</h2> <ul> <li>使用密码管理器替代浏览器存储密码、信用卡号和其他自动填充项。</li> <li>个人安全：不要在浏览器中保存任何敏感信息，尤其是凭据。这些数据可能传播得比你想象的更远，并可被恶意软件访问。考虑从所选浏览器中删除所有凭据和自动填充项。</li> <li>企业安全：防止用户在浏览器凭据存储中保存凭据，并考虑阻止用户在企业托管主机上登录浏览器。如果可能，强制执行访问控制，防止用户在非托管主机上登录浏览器。监控凭据滥用情况。</li> </ul> <h2 id="故事背景">故事背景</h2> <p>我在BHIS从事红队演练工作。这些演练旨在覆盖目标实体的最广攻击面。我们采用广泛的范畴——意味着我们可以攻击任何被识别为目标拥有的用户、计算机、应用程序或传真机，除非事先明确列为范围之外。</p> https://blog.qife122.com/p/%E6%B5%8F%E8%A7%88%E5%99%A8%E5%B9%B6%E9%9D%9E%E5%AE%89%E5%85%A8%E7%A9%BA%E9%97%B4%E5%AF%86%E7%A0%81%E7%AE%A1%E7%90%86%E5%99%A8%E4%B8%8E%E6%81%B6%E6%84%8F%E8%BD%AF%E4%BB%B6%E7%AA%83%E5%8F%96%E6%97%A5%E5%BF%97%E7%9A%84%E9%A3%8E%E9%99%A9/ Mon, 08 Sep 2025 17:27:02 +0800 https://blog.qife122.com/p/%E6%B5%8F%E8%A7%88%E5%99%A8%E5%B9%B6%E9%9D%9E%E5%AE%89%E5%85%A8%E7%A9%BA%E9%97%B4%E5%AF%86%E7%A0%81%E7%AE%A1%E7%90%86%E5%99%A8%E4%B8%8E%E6%81%B6%E6%84%8F%E8%BD%AF%E4%BB%B6%E7%AA%83%E5%8F%96%E6%97%A5%E5%BF%97%E7%9A%84%E9%A3%8E%E9%99%A9/ <h1 id="您的浏览器并非安全空间">您的浏览器并非安全空间</h1> <p><strong>Corey Ham //</strong></p> <p><strong>Tl;dr</strong><br> 使用密码管理器而非浏览器存储密码、信用卡号和其他自动填充项。<br> <strong>个人安全</strong>：不要在浏览器中保存任何敏感信息，尤其是凭据。这些数据可能会传播得比您意识到的更远，并且可以被恶意软件访问。考虑从您选择的浏览器中删除所有凭据和自动填充项。<br> <strong>企业安全</strong>：防止用户在浏览器凭据存储中保存凭据，并考虑阻止用户在企业托管主机上登录其浏览器。如果可能，强制执行访问控制，防止用户在非托管主机上登录浏览器。监控凭据滥用情况。</p> https://blog.qife122.com/p/%E4%B8%BB%E6%B5%81%E5%AF%86%E7%A0%81%E7%AE%A1%E7%90%86%E5%99%A8%E5%9C%A8%E9%9D%9E%E4%BF%A1%E4%BB%BB%E7%BD%91%E7%AB%99%E8%87%AA%E5%8A%A8%E5%A1%AB%E5%85%85%E5%87%AD%E8%AF%81%E7%9A%84%E5%AE%89%E5%85%A8%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/ Sun, 07 Sep 2025 11:41:44 +0800 https://blog.qife122.com/p/%E4%B8%BB%E6%B5%81%E5%AF%86%E7%A0%81%E7%AE%A1%E7%90%86%E5%99%A8%E5%9C%A8%E9%9D%9E%E4%BF%A1%E4%BB%BB%E7%BD%91%E7%AB%99%E8%87%AA%E5%8A%A8%E5%A1%AB%E5%85%85%E5%87%AD%E8%AF%81%E7%9A%84%E5%AE%89%E5%85%A8%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/ <h1 id="主流密码管理器在非信任网站自动填充凭证">主流密码管理器在非信任网站自动填充凭证</h1> <p><strong>John Leyden</strong><br> 2023年1月20日 12:09 UTC<br> 更新：2023年1月23日 10:20 UTC</p> <hr> <p>谷歌研究人员指出，Dashlane、Bitwarden和Safari内置密码管理器存在安全缺陷，可能导致在非信任页面上自动填充用户凭证。谷歌安全团队于1月17日公开了这一发现，此前90天已通知相关应用厂商。</p>