密碼管理工具 Bitwarden 調(diào)整策略，緩解自動(dòng)填充漏洞泄露用戶信息問題

IT之家 3 月 18 日消息，熱門密碼管理工具 Bitwarden 于日前發(fā)布公告，宣布即將更新應(yīng)用程序，徹底修復(fù)自動(dòng)填充漏洞，黑客利用該漏洞可以竊取用戶密碼等相關(guān)信息。

Bitwarden 在其 GitHub 頁(yè)面創(chuàng)建了一個(gè)修復(fù)程序，調(diào)整了頁(yè)面加載時(shí)自動(dòng)填充的工作方式。Bitwarden 目前只能在受信任的網(wǎng)站域名下自動(dòng)填充登錄數(shù)據(jù)。

IT之家附本次調(diào)整主要內(nèi)容如下：

• 默認(rèn)禁用頁(yè)面加載之后的自動(dòng)填充

• 用戶在啟用自動(dòng)填充功能之后，Bitwarden 將僅對(duì)用戶專門添加到應(yīng)用程序的受信任域和 URL 使用該功能。可信域包括與用戶在瀏覽器中訪問的 URL 相匹配的域。

• Bitwarden 用戶執(zhí)行手動(dòng)自動(dòng)填充時(shí)候，如果嘗試填充不受信任的 iframe 會(huì)跳出警告。應(yīng)用程序在彈出窗口中顯示 URL，讓用戶可以選擇繼續(xù)或取消。

Bitwarden 說，這“消除了 iframe 攻擊向量，同時(shí)仍然允許為具有受信任的 iframe 的站點(diǎn)提供方便的自動(dòng)填充功能”。

相關(guān)閱讀：

可泄露用戶密碼，Bitwarden 密碼管理器瀏覽器擴(kuò)展發(fā)現(xiàn)新漏洞

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。