研究人员发现谷歌、Cloudflare等知名网站的网页HTML源码中都以明文形式保存密码，恶意扩展可从中提取明文密码。威斯康星大学麦迪逊分校研究人员在Chrome应用商店上传了恶意扩展PoC，成功从网站源码中窃取明文密码。 问题产生的根源 由于Chrome扩展和网站元素之间缺乏安全边界，浏览器扩展对网站源码中的数据具有无限制的访问权限，因此有机会从中提取任意...