浏览器的自动填充（autofill）密码功能是个相当便利的工具。当用户登录邮箱、新浪微博网页时，这项功能可以免去记录帐号、密码的步骤，给用户节省下不少时间。

主流的浏览器Chrome、Safari等都支持这项功能，但它的安全性在过去近10年来其实都在受到质疑，自动填写的危险性在于它可能被黑客利用，盗取存储的个人信息，包括信用卡、住址、帐号密码等。

这件事最近被芬兰网页开发者Viljami Kuosmanen再次提出，他解释了黑客可能的攻击手段。由于多数自动填充功能一次性会将网页上的空白文本框填满，并且提供过多的用户个人信息。

黑客可以在流氓网站上将部分文本框隐藏，设置为用户不可见，从而盗取相应的信息。

这张Gif图可能比较好地解释了这背后技术，这位开发者输入了名字和邮箱，但让网页悄悄索取了你保存在自动填充里的更多个人信息。

右下方框出来的部分就是获取的用户信息，还包括了他所在公司、手机号等更多的信息。

Viljami Kuosmanen称，包括Chorme、Safari，以及那些密码保存服务在浏览器上提供的扩展工具版本，例如LastPass、1Password等，都存在同样的问题，基本上也都是默认开启自动填充。Firefox据称是相对安全的浏览器，只因为它不具备填充多个文本框的能力。

科技博客Gizmodo 试图联系Google 和苹果两家公司，但暂时还没有收到回复。1Password 等公司称，他们正在尝试解决，还谈了用户对浏览网页信任度的问题。不过，这件事情被发现差不多有10年历史，科技公司即便现在回应也不会对问题有太好的解决方案。

自动填充的危险性最早在网上引起大量讨论的，可能是在2006年。Safari 浏览器相应的问题，在2009年被瑞士开发者Patrice Neff 提出，Safari 浏览器直接调用了电脑上存储的用户住址信息。但苹果对此没有做出更多的反馈。

事实上，即便有危险性，用户也很难离开这项功能。“（解决方案就是关闭自动填充）这是对的，但谁会想要关闭自动填充？”Enderle Group 公司的首席分析师 Rob Enderle 称，“这是一个很方便的功能。”开发者 Viljami Kuosmanen 在 Twitter 上也回复称，他认为这是功能设计考虑不周。

当然，普通用户仍然可以对这些浏览器存储的信息进行管理。在浏览器的设置里选择关闭自动填充，或者是选择删除信用卡、住址等敏感信息，另外需要提醒的是，用户也要小心浏览的网页。

文章转载自 开源中国社区 [