![[提示] 建议关闭密码管理器Bitwarden的页面自动填充功能](https://www.ruancan.com/wp-content/uploads/2023/03/20230310005557-1.jpg)
如果你是密码管理器 Bitwarden 的用户,建议关闭该应用支持的「页面加载时自动填充」功能。虽然该功能启用后,可帮助用户在页面打开时自动填写密码,但也带来了风险——因为攻击者可以通过将恶意 iframe 植入受信任的网站,以利用 Bitwarden 的自动填充功能来窃取你的账号密码。攻击者可将套取的登录信息转发到远程服务器,而无需进一步的用户交互。
研究发现,Bitwarden 的自动填充功能支持在来自外部域或者子域的表单中填写登录信息。
当然,你需要访问那些带有嵌入式恶意 iframe 的站点时才有上述风险,但关闭自动填充更保险,访问设置 – 自动填充 – 关闭「页面加载时自动填充」即可,如上图。也可考虑设置为仅为指定的站点开启。
![[提示] 建议关闭密码管理器Bitwarden的页面自动填充功能](https://www.ruancan.com/wp-content/uploads/2021/11/2021112804143910.jpg)
![[提示] 建议关闭密码管理器Bitwarden的页面自动填充功能](https://www.ruancan.com/wp-content/uploads/2021/03/11.gif)
微信扫一扫