Android WebView 是否加密保存的密码?

【问题标题】:Does the Android WebView encrypt saved passwords?Android WebView 是否加密保存的密码?
【发布时间】:2011-04-19 15:44:37
【问题描述】:

我们希望发布一个应用程序,它只是一个指向受密码保护的移动网站的 WebView。目前我们计划允许用户访问 WebView 的“保存密码”功能,但我不确定这是否安全。

如果密码未加密且安全地存储,那么我们现在将不得不简单地拒绝对该功能的访问,并在以后开发更长期的解决方案。

那么,问题是,通过 android 上的 WebView 保存密码是否加密/安全?

【问题讨论】:

    标签: android webview android-webview


    【解决方案1】:

    不,它不安全。

    密码以纯文本形式存储在数据库中(它们甚至没有经过哈希处理!),因此如果用户拥有根设备(或使用模拟器),那么他就能够进入数据库并窃取存储的密码给定网站。

    我在存储 WebView 密码时遇到了类似的问题,我做到了,但它需要重新编译 WebKit 并使用启用了加密的自定义 sqlitedb.so 二进制文件。如果存储密码不是您正在开发的应用程序的主要用例,我不建议这样做。付出太多,收获甚微。

    【讨论】:

    • 谢谢,我实际上找到了一个示例应用程序,它将循环显示所有保存的密码。您需要 root 设备并授予恶意应用超级用户权限,但仍有可能。我们继续禁用了保存凭据的功能,并选择在以后构建或使用更安全的方法。
    • @Allen,你是如何取消记住密码对话框的?
    • @Zamel webView.getSettings().setSavePassword(false); developer.android.com/reference/android/webkit/… 和 webView.getSettings().setSaveFormData(false); developer.android.com/reference/android/webkit/…
    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2015-09-13
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode