9
Passwörter nicht im Browser abspeichern - Fall-Beispiel plausibel?
Hallo,
auf dieser Seite wird beschrieben, wie einfach es ist, ein im Browser gespeichertes Passwort abzufangen:
https://datenschutz-agentur.de/tipp-passwoerter-nicht-im-browser-abspeic ...
Generell speichere ich auch keine Kennwörter im Browser, aber mich würde interessieren, was ihr von diesem Vorgehen haltet, ob es wirklich so einfach ist:
Da der "Fake"-Login-Manager, und die "Spy" -Ergebnis-Seite beide auf der gleichen Site gehostet sind (https://senglehardt.com/.....) ist der Fall doch etwas konstruiert, oder nicht?
Wäre das mit 2 verschiedenen Seiten (für Login und Spy - Ausgabe) genau so möglich?
Viele Grüße
Christoph
auf dieser Seite wird beschrieben, wie einfach es ist, ein im Browser gespeichertes Passwort abzufangen:
https://datenschutz-agentur.de/tipp-passwoerter-nicht-im-browser-abspeic ...
Generell speichere ich auch keine Kennwörter im Browser, aber mich würde interessieren, was ihr von diesem Vorgehen haltet, ob es wirklich so einfach ist:
Da der "Fake"-Login-Manager, und die "Spy" -Ergebnis-Seite beide auf der gleichen Site gehostet sind (https://senglehardt.com/.....) ist der Fall doch etwas konstruiert, oder nicht?
Wäre das mit 2 verschiedenen Seiten (für Login und Spy - Ausgabe) genau so möglich?
Viele Grüße
Christoph
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 360019
Url: https://administrator.de/contentid/360019
Printed on: April 19, 2024 at 18:04 o'clock
9 Comments
Latest comment
Hi.
->Nimm dir selbst die Zeit und teste auf der Seite mit den gängigen aktuellen Browsern. Ich schätze, mit den meisten wird es gar nicht funktionieren.
mich würde interessieren, was ihr von diesem Vorgehen haltet, ob es wirklich so einfach ist:
Es ist wie mit allen Sicherheitsfragen: Wenige Leute verstehen die Thematik, die Medien machen gerne eine dicke Welle draus und ausprobieren tut es letztlich fast niemand.->Nimm dir selbst die Zeit und teste auf der Seite mit den gängigen aktuellen Browsern. Ich schätze, mit den meisten wird es gar nicht funktionieren.
Das habe ich auch schon gemacht. Die Daten wurden auch ausgegeben.
Die Eingabemaske läuft auf:
https://senglehardt.com/demo/no_boundaries/loginmanager/index.html
Und das Ergebnis kommt von:
https://senglehardt.com/demo/no_boundaries/loginmanager/sniff.html
Mir ist dabei aber nicht klar, ob das nicht eigentlich ganz "normales" Verhalten ist, wenn es die gleiche Seite ist, und ob das auch über verschiedene URL´s so möglich wäre.
Die Eingabemaske läuft auf:
https://senglehardt.com/demo/no_boundaries/loginmanager/index.html
Und das Ergebnis kommt von:
https://senglehardt.com/demo/no_boundaries/loginmanager/sniff.html
Mir ist dabei aber nicht klar, ob das nicht eigentlich ganz "normales" Verhalten ist, wenn es die gleiche Seite ist, und ob das auch über verschiedene URL´s so möglich wäre.
->siehe Passwörter nicht im Browser abspeichern - Fall-Beispiel plausibel? - geht doch bei einigen/bzw. den meisten.
Nebenbei: beachte auch, was sie schreiben:
our third-party script is only able to recover the credentials you saved for this website (senglehardt.com). It is not possible for us to access credentials for other websites
Das funktioniert - wenn überhaupt - nur auf der eigenen Seite.Edit: Du schreibst:
Das habe ich auch schon gemacht. Die Daten wurden auch ausgegeben.
Dann nimm bitte aktuelle Browser beim nächsten Mal. Bei welchen geht es denn bei dir?
Nachdem viele Webseitenbetreiber vollkommen ungehemmt JavaScript von fremden Quellen (z.B. Bootstrap, jQuery, Werbebanner...) einbinden, wäre ein denkbares Einfallstor, dass einer dieser Anbieter komprommitiert wird — vermutlich durch entsprechend präparierte Werbebanner.
Die können dann den DOM der Seite entsprechend verändern, dass diese unsichtbaren Formulare erzeugt werden und die Daten irgendwo hin schicken.
Da das JavaScript (auch aus der Drittquelle) ja im Kontext der aktuellen Seite ausgeführt wird, greifen diese Beschränkungen hier nicht.
Das Problem ist also durchaus real und erfordert nicht unbedingt, dass die Seite durch den Webseitenbetreiber präpariert wird.
Die können dann den DOM der Seite entsprechend verändern, dass diese unsichtbaren Formulare erzeugt werden und die Daten irgendwo hin schicken.
Da das JavaScript (auch aus der Drittquelle) ja im Kontext der aktuellen Seite ausgeführt wird, greifen diese Beschränkungen hier nicht.
Das Problem ist also durchaus real und erfordert nicht unbedingt, dass die Seite durch den Webseitenbetreiber präpariert wird.
Wenn die Werbebanner denn auf der selben Domain gehostet werden, wofür das Kennwort gespeichert wurde - dann ja. Aber wie gesagt: nur für betroffene Browser und das dürften von den aktuellen fast keine mehr sein.
Ja es ist tatsächlich ein nicht aktueller Firefox.
Danke für deine Anmerkungen.
Danke für deine Anmerkungen.
bei mir funktioniert https://senglehardt.com/demo/no_boundaries/loginmanager/sniff.html mit einem aktuellen chrome
Interessant - hier zu Hause funktioniert das Abgreifen der Kennwörter auch - wie die Webseite schon sagt, sollte man Chrome verwenden, muss man zumindest noch einmal irgendwo auf die Seite klicken... ich werde diesen Hinweis doch wohl nicht übersehen haben, als ich es im Büro getestet hatte?
Werde ich Montags noch einmal testen.
Werde ich Montags noch einmal testen.
Ok, ich muss mich korrigieren:
Nachdem es bei Opera nicht ging (es wurde nicht einmal die e-mail-Adresse angezeigt), hatte ich wohl bei Chrome und FFox nicht mehr genau hingesehen und nicht auf die Seite geklickt. Bei Firefox und Chrome funktioniert der Exploit also, nachdem man auf die Seite klickt, bei Opera nicht. Andere Browser kann ich hier nicht testen.
Nachdem es bei Opera nicht ging (es wurde nicht einmal die e-mail-Adresse angezeigt), hatte ich wohl bei Chrome und FFox nicht mehr genau hingesehen und nicht auf die Seite geklickt. Bei Firefox und Chrome funktioniert der Exploit also, nachdem man auf die Seite klickt, bei Opera nicht. Andere Browser kann ich hier nicht testen.
