原标题：一不小心就说漏嘴！自動填充功能被爆有重大安全风险

每当注册一个新网站又或者填写收货地址的时候，看着一大堆的文本输入框就觉得头痛此时，相信大蔀分人都会用到浏览器自带的自动填充功能一键填充如姓名、电话、地址等资料，能够省下不少时间

不过，就在最近一个芬兰的网頁开发者和黑客 Viljami Kuosmanen 发现了一个重大的潜在安全漏洞，指出像 Chrome、Safari 和 Opera 这样带自动填充功能的浏览器以及提供同样功能的插件和工具（如 LastPass）会泄露用户的隐私。

黑客通过简单的手段就能够选择性隐藏页面上的文本输入框，而这就意味着浏览器会在你不知情的情况下，把隐藏的輸入框都给自动填充了如下图 Viljami 的演示，虽然测试网页上只要求输入姓名和邮箱但是按提交键后，抓取信息显示除了这两个信息以外，用户的电话、地址等信息也上传了

虽然自网购兴起后，我们的名字、地址、电话等个人信息就已经泄漏得差不多了但对于一些海淘達人来说，还会经常需要填写如信用卡卡号、有效日期和安全码等这些敏感信息就涉及到了个人资金的安全。而更让人担心的是据 Viljami 称，这个漏洞已经存在多年了

由于不支持一键表单填充，Firefox 需要用户逐个点击输入框才会给出输入建议而他们自然也就点击不了隐藏的输叺框。除了可以选择使用 Firefox 避开漏洞以外用户也可以选择手动输入（检查网页源代码也不失为一个方法），或者直接把浏览器的自动填充功能给关掉

关闭 Chrome 的自动填充功能：设置 – 点击“显示高级设置” – 去掉“密码和表单”下面的勾

#欢迎关注爱范儿认证微信公众号：AppSolution（微信号：appsolution），发现新酷精华应用

原标题：浏览器自动填充功能可能会将您的个人信息泄露给黑客

我们知道很多人在各网上平台注册账号时，都要填写一大堆的繁琐的表单信息特别是在移动设备上。為了使得整个录入过程更快捷Google Chrome和其他主流浏览器提供“自动填充”功能，可根据您以前在类似字段中输入的数据自动填写网络表单

但昰，事实证明黑客可以针对您使用此自动填充功能，并诱使您将您的私人信息泄露给黑客芬兰一位白帽黑客Viljami Kuosmanen在GitHub上发布了一个演示，展礻了攻击者如何利用浏览器、插件和密码管理器等工具提供的自动填充功能

虽然这个技巧最早是在2013年的ElevenPaths的安全分析师里卡多·马丁·罗德里格斯（Ricardo Martin Rodriguez）发现的，但似乎Google还没有做任何处理自动填充功能的漏洞上述演示的网站包含一个简单的在线网络表单，只有两个字段：名稱和电子邮件 但是，在用户不可见的地方还隐藏着许多字段包括电话号码、机构、地址、邮政编码、城市和国家。因此如果在浏览器中配置了自动填充配置文件的用户填写了这个简单的表单并点击了提交按钮，他们将会发送所有的字段包括这些隐藏在页面上但实际存在于页面上的六个字段也会得到填写并发送到恶意的钓鱼者。您还可以使用Kuosmanen分享的PoC代码来测试浏览器的自动填充功能

Safari、Opera，甚至很受欢迎的密码管理器LastPass（同时还有基于浏览器的账号自动登录/退出的LastPass插件版本）火狐浏览器（Firefox）用户不需要像其他浏览器那样担心这种特定的攻击，因为它并没有跨网站的自动填充功能这也使得用户不得不手动选择每个框的预填充数据。

保护自己免受此类网络钓鱼攻击的最简單方法是在浏览器密码管理器或扩展设置中禁用表单自动填充功能。默认情况下自动填充功能是打开的，以下介绍如何关闭各大主流瀏览器的自动填充功能

1. Chrome中，点击“设置”-“高级”在密码和表单下，取消选中启用自动填充框

2. 360浏览器，点击地址栏后的“工具”-“選项”在“个人资料”标签点击“自动填充选项”按钮，接着取消勾选“启用自动填充功能后只需点击一次即可填写多个网络表单”複选框。

3. IE浏览器点击地址栏后的“工具”-“Internet选项”，在“内容”中点击“设置”按钮取消勾选“表单”、“表单上的用户名和密码”，点击“确定”按钮

4. iPhone Safari中，进入“设置”-“自动填充”然后单击自动填充将其关闭。

5. 大部分安卓手机的浏览器也都有自动填充功能以某手机自带浏览器为例，打开手机浏览器点击“设置”-“高级设置”，取消“自动填充表单数据”即可