Moin,

nachdem ich grade an anderer Stelle philosophiert habe, was ich hier an Sicherheitslücken weniger hilfreich finde (bzw. was wenn schon zu so einer Meldung gehört), will ich mal was zur Diskussion stellen, was ich für wichtig halte, denn dieser Fehler steckt im Design und ihm kann im Großen und Ganzen wohl nur durch gesunden Menschenverstand begegnet werden.

Mozilla bietet in seinen Browsern einen Passwortmanager, der Formularfelder zum Einloggen in bestimmte Websites erleichtert, indem es diese Feldinhalte speichern und bei folgenden Besuchen vorausfüllen kann. Bei der Masse an Passworten heutzutage sehr praktisch. Allerdings werden diese Inhalte jeweils für einen Server gespeichert, ich sage mal www.myspace.com, nicht etwa nur für die eine Seite, auf der man sich angemeldet hat. Auch das hat seine Berechtigung, die meisten Seiten bieten die Eingabefelder für Benutzername und Passwort auf allen Seiten an, solange man nicht angemeldet ist.

Jetzt aber das Problem: Können auf dieser Website auch die Benutzer eigene Inhalte einfügen, so können sie dies oft auch als HTML. Werden nun die Eingabefelder für Benutzername und Passwort dorthin irgendwie kopiert, und/oder mit JavaScript die vom Browser ggf. ergänzten Inhalte auslesbar sind, dann ist der Klau der Zugangsdaten geglückt.

Mehr lesen: Löchriger Firefox Passwort Manager (heise newsticker)

Tja, das Problem ist wohl: Muss jetzt der Nutzer wissen, auf welchen Sites er besser (bzw. sowieso komplett) auf den Luxus Passwortmanager verzichtet?

Grüße,
Thorsten

hallo,

aber was ist wenn java ausgeschaltet ist!!??
immer noch unsicher.
habe gelesen das ein sicherheitsloch in javascript ist..

Moin,

Zitat:

Zitat von Acidjunk

aber was ist wenn java ausgeschaltet ist!!??
immer noch unsicher.
habe gelesen das ein sicherheitsloch in javascript ist..

nicht vergessen: Java ungleich JavaScript. Auch wenn es Dir vielleicht bewusst ist, so eine Ungenauigkeit verwirrt gern andere. Und ja, ohne JavaScript kann man diese Lücke auch nicht ausnutzen. Es wurde auch immer gern empfohlen, doch einfach JavaScript ganz abzuschalten Nur leider geht die Zeit voran, und wenn Du irgendwelche etwas komfortableren Webseiten nutzen willst, den Buzzwords "Web 2.0" und "AJAX" folgst, dann kommst Du ohne JavaScript nicht so richtig weit. Und grade da treffen sich ja auch häufig die Probleme, Community-Sites, die geeignet sind, die Lücke zu nutzen (eigene Inhalte einzubinden) und moderne Techniken wie AJAX, WYSIWYG-Inline-Editor nutzen, die JavaScript erfordern.

Es ist in dem Sinne kein Sicherheitsloch in JavaScript. Zumindest gibt es eine nahezu unbegrenzte Menge von Kombinationen aus Browsertools und Website-Inhalten, an irgendwas muss man Probleme erkennen können. Irgendwann ist halt auch mal Schluss, sollen solche Hilfsmittel noch Sinn machen. Man könnte z.B. den Passwortmanager darauf beschränken, nur auf einer bestimmten Seite die Daten einzutragen, und nicht auf jeder Seite des Servers. Man könnte zumindest Passwort-Formularfelder etwas stärker einschränken bzgl. JavaScript, aber all das schränkt die sinnvolle Nutzung dieser Werkzeuge stark ein.

Grüße,
Thorsten

hallo,
noch eine frage.
ist das nur beim firefox oder auch beim opera?

gruß acidjunk

Moin,

Zitat:

Zitat von Acidjunk

noch eine frage.
ist das nur beim firefox oder auch beim opera?

ich hab hier grade keinen installiert, aber laut Forumsbeiträgen im Heise-Forum füllt Opera das Passwort-Feld nicht automatisch beim Laden der Seite aus. Das vermindert das Risiko zumindest ungemein, Du musst Dich dann schon per Zufall auf genau der problematischen Seite einloggen und das boshafte Script hat zwischen Passwort-Ergänzung und Login-Button etwas weniger Zeit. Gilt so wohl auch für den IE.

Grüße,
Thorsten

hi,
ja das stimmt, das password beim opera erscheint nach einer tastenkombination.

also werde ich vorerst opera benutzen.

danke

Zitat:

Zitat von Acidjunk

also werde ich vorerst opera benutzen.

Man kann auch seinen Browser mit Bedacht nutzen, z.B. den Passwortmanager bedingt oder überhaupt nicht benutzen (z.B. mit einem seperaten Passwortmanager wie KeePass). Aber gegen Opera spricht ja nix

Grüße,
Thorsten