前陣子看到一篇密碼管理器漏洞的報導，仔細看了原始報告後學到一些新知識。

這次的漏洞主要是透過操作 dom 元素，讓使用者無意間點到密碼管理器套件的自動填入功能，進而導致個人資料甚至說信用卡號的洩漏。

點擊劫持是存在很久的攻擊手法了，過往可能會認為只要不登入，就不會有什麼嚴重的問題（例如這邊的留言），但因為現在主流的密碼管理器都有瀏覽器套件，在偵測到帳號密碼輸入欄位時，可以提醒使用者填入已經儲存過的帳號密碼，在密碼管理器已解鎖的狀態下，通常只要一個點擊，甚是是不點擊就自動帶入，才讓這個漏洞成為可能。

攻擊要成功還有一個前提是子網域被劫持，導致惡意 JS 被注入，但其實在被注入惡意 JS 的情況下，瀏覽器套件本身目前好像也沒有什麼可以偵測和防禦的方式，1Passowrd 的回覆也是提到點擊劫持不是密碼管理器的問題，沒有完全的解決方案，這邊我就有點好奇，在尚未有全新的瀏覽器 API 被製作出來的前提下，部分有針對這個漏洞進行修復的廠商是使用什麼方式去處理的。

以目前來說我還是會繼續用密碼管理器，避免共用密碼還是首要的目的，預防性的把管理器內所有類別的自動填入前提醒打開，最後再把自動鎖定時間調整到最短的１分鐘應該就可以抵禦大部分的攻擊了。