据WindowsLatest报道,微软就Chromium浏览器自动填充表单功能,提出新的隐私保护建议,将自动填充功能与系统身份验证挂钩,可以在便利性和安全性之间取得一个不错的平衡。
微软假设用户A将计算机借给用户B使用,由于自动填充功能,用户B在浏览器内只需点击一下便可登录用户A的账户,并且可以轻易地获取明文密码。IT之家注意到此前有开发人员提出设置一个“主密码”在自动填充时用以验证,微软则建议在此基础上进行改进,将自动填充功能与系统身份验证相结合,如Windows Hello等,类似于iOS钥匙串或1Password,并且该功能不仅可以保护自动填充的密码,可以扩展至所有自动填写的内容。
微软还建议在Chromium自动填充代码路径中“默认情况下关闭OS身份验证挂钩”,即Chromium自动填充功能将使用现有Windows 10身份验证逻辑,并在验证成功后保持一定有效的时间。
微软指出:“做出这一决定是为了确保在提示用户要访问其保存的凭据之前,不提示用户进行身份验证。”