浏览器非常不安全！

听起来没什么问题，
卸载保留用户数据也是常见的了，
win 版 chrome 用户数据本来就是默认不加密的谁都能读取一直是这样的，

除非你没有锁屏的习惯，要不然确实不安全

edge 会自动从 chrome 里导入东西

你这标题，是骗人进来吗

用户数据是在你本地的某个浏览器目录的，它应该是读取了 chrome 的。

程序目录和数据目录不在同一个地方吧-。-你卸载的时候没有干掉数据目录

@AoEiuV020JP 啊？那 win 上的任何软件岂不是都可以随意读取 chrome 里保存的所有密码了？

mimikatz 了解一下，数据保存在本地的，你应该是安装新浏览器是授权导入其他浏览器数据了。

你的密码都是本地明文保存的，同浏览器读取很正常。你都把软件安装到本地了，如果是病毒就算不是 edge 你也出事儿了。
密码的性质决定了不可以走哈希，最多搞加密，但是你就算加密也是密钥放本地，多此一举。


https://softwareengineering.stackexchange.com/questions/141402/how-does-a-web-browser-save-passwords

你卸载只删除了程序文件，没有清空数据。
浏览器的密码都是明文存储的
你应该是在 edge 启动的时候导入了 chrome 的数据，所以 chrome 的记录同步到了 edge 中。
都是正常行为，没有发现不安全的地方。

@qinyui
你是不是对 PC 的安全性有什么误解，以前的时候其他软件拿到管理员权限以后甚至可以直接读取 chrome 的内存。。
所以 PC 上需要安装杀毒软件防护软件。

@AoEiuV020JP @qinyui
Windows 和传统桌面 Linux 没有严格的沙盒机制，一个程序如果不依赖外部密码就能读取某些数据的话，另一个程序也能做到。
macOS 对此的解决方案是，系统的钥匙串可以分应用限制读取，比如说是 A 应用创建的，那就只有 A 应用能读取，其他应用要读取的话需要管理员权限。而 A 应用的识别则是通过包名和签名。需要注意的是，macOS 非商店应用没有文件沙盒，A 应用是能读取 B 应用的各种数据的，只能通过数据加密来保证安全。
Android 和 iOS 的解决方案是，不同应用数据隔离，应用只能读取自己的数据。

@qinyui #7 确实是这样的，方便和安全不可兼得，
chrome 密码实际上是加密的，只不过加密方式和密钥本身是不加密的，等于不加密，
你想想，如果 chrome 真的把数据加密了，那你用的时候都要解密是不是很麻烦，实际上你使用 chrome 并不涉及解密对吧，
linux 版 chrome 默认第一次打开就会问你要密码，设置以后每次启动 chrome 都要输入密码解锁，麻烦的一匹，我都是设置空密码，就不用解密，

我记得 windows 的 chrome 数据都是和登录账号绑定的，你用另外一个帐号登录 windows ，应该就没办法导入浏览器密码了。

从这点意义上来说，数据是安全的。

Firefox 設了主控密碼，(網站登入密碼)就是真加密.

edge 是微软的，windwos 也是微软的，他们在系统层面想做啥就做啥。是这个意思吧？

哥，我以为你要爆几个 Chrome 0day 出来呢

首先用户目录和程序目录是独立的，你别告诉我你 linux 卸载软件包能够把你用户目录也给删的，这不可能，其次，edge 首次打开的引导界面就会 [明确弹出] 是否定期导入 chrome 的数据 的选项

@ysc3839 那是说非应用商店下载的 A 能读取到非应用商店下载的 B 创建的钥匙串？太可怕了吧

@LOGOSJ 钥匙串是不行的，除非有管理员权限。但是文件是可以的，非商店应用，只有在访问桌面、下载等特定的几个文件夹时会提示用户授权，访问别的应用的配置文件是不需要授权的。
可以下载个第三方的终端应用，自己输入命令访问试试。

1. edge 和 chrome 用的都是 chromium ，密码管理是在 chromium 层面做的，所有使用 chromium 内核的浏览器都可以相互导入数据和密码。
2. chromium 把用户密码加密后存储在本地文件，但是加密用的密码是明文存储的，所以任何的程序其实都能访问你的密码
3. Windows 也有像 macOS 钥匙串那样的安全的凭据管理器，并且以前老 edge 和 IE 都是用那个的，非常安全。但无奈 chromium 不用这玩意非得自己整了个完全不安全的实现，即使在 macOS 上 chromium 也没用苹果的钥匙串，所以在 macOS 上 chromium 内核的浏览器的密码存储也不安全。
4. 有人说到浏览器可以设置主密码在访问密码前输入验证，其实那个只是是浏览器的 UI 层面做的，而不是 chromium 层面和密码文件上做的，只是用来防未经允许自动填充了密码这种情况的，底下的密码存储仍然不安全。

@LOGOSJ 有啥可怕的呢？就好像你家有个钱包，谁进来都能拿，你要做的是锁上门，而不是发明一个别人摸不着的钱包，类比电脑，你应该锁屏，这样就不会泄露，还担心，可以全盘加密

@ysc3839 再补充一下，所以 chrome 显示密码明文的时候是让你校验系统开机密码，只要保证你对当前用户具有绝对的控制权就好了

别以为只有浏览器会访问，
某厂的管家一样会访问用户的浏览记录等隐私信息。
https://v2ex.com/t/836014

数据库可以直接读 cookie

@ysc3839 无法访问钥匙串就行，担心的是传输出去

如果按照你说的，edge 只需要不读取对应目录数据就可以说明浏览器是安全的嘛？

哇 好不安全！再也不用浏览器了

你就是为了这么点事，就把大家叫出来啊😅

你必须知道，Windows 、Linux ，一直都是本地操作系统，而本地资源安全的重点，是防止外部入侵和多用户之间的资源隔离。对于同用户下，非病毒程序之间，是不做任何隔离的。虽然上层一直再鼓捣着一些外部防护措施，但内核这么多年一直都是这么干的，所以本质一直没变。

在以上体系下，别说 edge 、chrome 之间，就是 Firefox ，以及各种不搞特立独行的浏览器，它的书签、历史记录、以及密码，都是相互可读的。并且，其他软件也都是可以读的，只要你用得是同一个操作系统用户。这些都是合法的，杀毒软件不能管（而且视地方的不同，管了可能还要吃垄断官司）。

如果跟手机操作系统类比，那么 Windows 、Linux 上的每个程序，都相当于取得了所有权限的应用。所以不要随意装你不能 100%信任的任何程序。

现在回头来看，你就能发现 Win 11 这种，在内核还是本地多用户操作系统的前提下，强制绑定微软账户将其当作单用户网络终端——即手机操作系统的行为，是多么脑残。

所以改用了 firefox

Firefox 也可以一键导入 Chrome 密码，虽然知道就这样设计，但想想随便一个应用程序都可以读取还是挺膈应的，所以把 Chrome 密码全删了换 Keepass 了。或者用火狐，它有个主密码的功能，每次输入密码都需要主密码来解锁，就是有点麻烦。。

在设置里关掉 edge 的自动导入 chrome 数据！！！（默认开启）之前有一次发现每次 chrome 上一次关闭的网页都会在下一次 edge 的会话里出现，发现是这么个问题

@duanxianze 那个验证只是 Chrome 自己加的，实际上不需要也可以读取。

基础太差了，建议少混论坛多读书

@AoEiuV020JP 那确实太不安全了，电脑上任意一个软件都可以读取 chrome 里存储的密码泄露出去，书签浏览记录什么泄露倒是无所谓，关键是密码。。。以后尽量不用这个功能了。。。

亏你还是程序员。。。

@someday3 请问读什么书能增强此类常识呢？我是非科班出身，读操作系统吗？

@nothingistrue
> 强制绑定微软账户将其当作单用户网络终端

但你可以在系统上登录多个微软账户来以多用户的方式来使用啊？不同用户之间的也不能访问对方的文件，除非有系统管理员权限。所以其实是多用户网络终端。

首先，这个帖子是发在 程序员 节点的，那么我就要好好喷一喷现在的程序员了。

如果你是浏览器制造商，用户档案各种信息，存哪里呢？存文件对吧。而且一般都是存本地（否则断网的时候不给别人用浏览器了）

那么问题来了。你卸载 & 重新安装浏览器，是不是还是会去读同一份用户档案？


那凭啥就不能读取到同一份用户档案？

https://support.google.com/accounts/answer/11350823?hl=zh-Hans 开启设备端加密功能就行，我为什么总感觉很多人的安全知识一直停留在几年前

快速爬了一下楼 , 楼上许多人都提到了, edge 有个很骚的设置就是"与其他 windows 功能共享浏览数据", 打开这个功能就可以实现在 edge 和 chrome 之间无缝切换,
还有就是我也是在学 playwright 时候发现的, 不管你怎么卸载 edge 或者 chrome , 用户数据好像都不会删除, 只能找到文件, 手动删掉, 这才算移除了你在浏览器中的本地数据
"edgedev": r"C:\Users\$username$\AppData\Local\Microsoft\Edge Dev\User Data",
"edge": r"C:\Users\$username$\AppData\Local\Microsoft\Edge\User Data",
"chrome": r"C:\Users\$username$\AppData\Local\Google\Chrome\User Data",
这三个路径可以参考一下

保存密码的究极方案还得是第三方存储, 而不是依赖浏览器本身, 我最开始啥都不懂的时候玩电脑就是把密码存浏览器里, 然后重置系统, 密码全丢了, 现在想想感觉自己很蠢,
不过 keepass 还是蛮好用的, 至于每次都要主密码这个问题, 可以设置记住网站请求, 就不用每次都输入主密码了

卸载之前退出浏览器当前登录用户试试？配置文件和用户数据都是和当前登录用户关联的，现在的浏览器很多都是一个用户一个配置，开启同步后会自动同步你的配置，本地删了只要重新登录，很多配置会自动同步下来。

edge 有自动导入 chrome 全部数据的功能，并且默认开启。极其流氓。我在某一次弹页面的时候被强制唤醒 edge ，发现了这个玩意，从设置里找到了关闭按钮

计算机非常不安全！

现在看，小而美的扫码登录岂不是遥遥领先，Win 上普通用户使用就是很不安全

任意一款 windows 软件都有权限读取 chrome password manager 的数据么？

亏你还是程序员+1……

@LandCruiser 没有专门解答这类问题的，建议别挑，什么都读，像《电脑报》这种简单一点的杂志可以找来看看，会将很多基础的东西。

@qinyui 啊？你才知道？

V2EX 也低龄化了吗

@HomeZane 同感

这和浏览器有啥关系， 你这是本地应用权限问题，前提就是使用者是可信的

@HomeZane #4 实际上很多发帖人都不会取一个合适的标题，无意的还好，有意的才是烂泥。

我的方案是装 sandboxie 然后不同应用装不同 sandbox 里面

不是很正常吗

@ysc3839 没有签名的程序 mac 是怎么处理的？非 mac 用户，交叉编译出来的程序也不会考虑 mac 下的要求

@iseki 目前 macOS 应用是强制要求签名的，不签名不给运行，不过不一定要花钱，可以自签名，自签名在打开时会提示未知开发者。

同理，ssh 的私钥也非常不安全…

所以我觉得 Firefox 提供 MSIX 版是很大的优势

当你的电脑不安全的时候，你硬盘上的任何东西都已经不安全了。

@Shilion AppX/MSIX 打包的应用既可以是 UWP 应用也可以是 Win32 应用，如果是 Win32 应用，仍然可以不受沙盒限制。另外，Win32 应用还是能读写其他 AppX 应用的私有数据。

@ysc3839 我用 GOOS=darwin go build 出来的程序似乎只是会弹一个警告对话框？通过一些技巧好像还是能运行的

@iseki 之前跟朋友测试过，没记错的话，设置里允许未知来源后，自签名的应用只需要右键打开再确认就行，直接双击会提示未知开发者。然后如果是系统自带解压工具解压的话，会被加上 quarantine 标记，然后整个程序包会被复制还是链接到一个特殊的位置去运行，但这不影响正常运行，似乎只会影响程序自更新。
然后不知道是 bug 还是什么原因，仅支持 ARM ，不是 x86 和 ARM 混合的应用，自签名后是无法右键打开的，会报什么错误，解决方法要不然是编译成混合版本，要不然主程序改个名，然后弄个 shell 脚本去 exec 真实的主程序。

呃，，，这个问题有什么好讨论的。edge 是微软的，windows 也是微软的。edge 权限再大也没什么好奇怪的，微软要想作恶不要太容易。你都用 windows 还防 edge ，防得住嘛？

只有小白才用浏览器存密码，用浏览器记住密码的安全性甚至不如用记事本记密码，因为前者的文件路径是固定的，后者 txt 文件你想放哪都行。

电脑自己用没什么问题，要卖的话，最好重装系统

不要瞎 JB 起标题...

data sandbox 的问题，12 楼说的很清楚了。

这与操作系统设计机制相关，和浏览器反而关系不大。

这个标题非常不准确。

window 非常不安全!, 其他用户下载存放到 D 盘的文件,用另一个用户登录,竟然能看到这个文件!!!
大家要重视起来.

window 非常不安全!, 其他用户下载存放到 D 盘的文件,用另一个用户登录,竟然能看到这个文件!!!
大家要重视起来.

啊！对！对！对！

那我问一下,win 下面,什么软件能导出 chrome 的密码?

我试了一下,
win 中无需验证,即可导出明文密码
mac 中需要输入系统密码,才可以导出密码

Firefox 开启主密码 别的软件就读不出来了。
这就是我换成 FF 的原因。

我理解楼主，看看这篇： https://www.v2ex.com/t/872745