【问题标题】:Programatically import passwords from Chrome Password Manager onto Chrome Extension以编程方式将密码从 Chrome 密码管理器导入 Chrome 扩展程序
【发布时间】:2015-03-25 02:15:16
【问题描述】:

我正在开发我的第一个 chrome 扩展程序。它是一个密码管理器应用程序,比 chrome 默认密码管理器具有一些附加功能。

现在我有一个来自客户端的请求,要求从 chrome 密码管理器中获取所有密码并将其存储在 chrome 扩展中。

我浏览了许多 stackoverflow 帖子和其他在线帖子,但没有一个回答在 chrome 扩展中实现这一点。我知道这绝对是可以实现的,因为有诸如 LastPass、ChromePass 之类的第三方应用程序已经实现了这一点。

有人可以给我一些关于如何处理这个问题的指示吗?我知道 Chrome 将密码数据存储在名为“登录数据”的数据库中,并且密码将被加密存储,这取决于操作系统。

【问题讨论】:

  • 您是否有证据表明这些工具中的任何一个确实适用于当前版本的 Chrome?
  • 是的,他们有。我已经用最新的 Chrome 浏览器尝试过 LastPass。
  • 它导入了浏览器存储的密码?有或没有二进制助手应用程序?我的意思是,他们没有使用任何允许他们这样做的特殊权限。
  • 用于导入密码的LastPass doc 仅在使用其本机应用程序时提及与 wifipasswords 相关的 Chrome。
  • 我相信 LastPass 扩展至少在某个时候有一个 NPAPI 插件(已被弃用);但是,不太可能有任何合法(或简单)的方法可以从密码管理器中提取密码。如果有,它将成为恶意软件的一个有吸引力的目标。

标签: javascript angularjs google-chrome google-chrome-extension google-chrome-app


【解决方案1】:

除非您使用外部模块(本机主机),否则我认为这是不可能的(并且您链接到的文档没有提及)。

没有允许扩展访问密码数据库的特定 API,既不是公共的,也不是据我所知是私有的(LastPass 扩展在清单中没有私有 API)。从安全角度来看,这很好。

至于本机主机方法 - 即使那样,您也必须以某种方式访问​​ Chrome 的加密密码文件。它的格式随着时间而改变,我怀疑目前是否有工具可以破解它。或许可以复制 Chrome 使用用户主密码访问文件的功能,但这会很困难。


事实上,Chrome 自己的数据库属于文档的"Passive Imports" part。我怀疑 LastPass 只是在 Chrome 插入密码时提取密码,但仅在您访问受所述密码保护的网站时才提取。

【讨论】:

  • 我使用过 LastPass,它有一个单独的选项可以从密码管理器中导入。一旦我选择了 Chrome 默认密码管理器选项,所有密码条目都会被导入并可供使用。
  • 我相信提到的 LastPass 导入器是 Windows 应用程序,而不是扩展程序。它可以从文件系统中读取密码。它们不是纯文本或任何东西,但可以通过在用户配置文件下运行的进程轻松解密。
猜你喜欢
  • 2011-03-16
  • 2017-05-10
  • 1970-01-01
  • 2021-05-13
  • 1970-01-01
  • 2019-11-16
  • 2014-07-17
  • 2017-03-07
  • 2012-04-30
相关资源
最近更新 更多