christophh
Goto Top

Passwörter nicht im Browser abspeichern - Fall-Beispiel plausibel?

Hallo,
auf dieser Seite wird beschrieben, wie einfach es ist, ein im Browser gespeichertes Passwort abzufangen:

https://datenschutz-agentur.de/tipp-passwoerter-nicht-im-browser-abspeic ...

Generell speichere ich auch keine Kennwörter im Browser, aber mich würde interessieren, was ihr von diesem Vorgehen haltet, ob es wirklich so einfach ist:
Da der "Fake"-Login-Manager, und die "Spy" -Ergebnis-Seite beide auf der gleichen Site gehostet sind (https://senglehardt.com/.....) ist der Fall doch etwas konstruiert, oder nicht?
Wäre das mit 2 verschiedenen Seiten (für Login und Spy - Ausgabe) genau so möglich?

Viele Grüße
Christoph

Content-ID: 360019

Url: https://administrator.de/forum/passwoerter-nicht-im-browser-abspeichern-fall-beispiel-plausibel-360019.html

Ausgedruckt am: 23.12.2024 um 02:12 Uhr

DerWoWusste
DerWoWusste 05.01.2018 um 10:53:31 Uhr
Goto Top
Hi.

mich würde interessieren, was ihr von diesem Vorgehen haltet, ob es wirklich so einfach ist:
Es ist wie mit allen Sicherheitsfragen: Wenige Leute verstehen die Thematik, die Medien machen gerne eine dicke Welle draus und ausprobieren tut es letztlich fast niemand.

->Nimm dir selbst die Zeit und teste auf der Seite mit den gängigen aktuellen Browsern. Ich schätze, mit den meisten wird es gar nicht funktionieren.
christophh
christophh 05.01.2018 um 10:58:55 Uhr
Goto Top
Das habe ich auch schon gemacht. Die Daten wurden auch ausgegeben.

Die Eingabemaske läuft auf:
https://senglehardt.com/demo/no_boundaries/loginmanager/index.html

Und das Ergebnis kommt von:
https://senglehardt.com/demo/no_boundaries/loginmanager/sniff.html

Mir ist dabei aber nicht klar, ob das nicht eigentlich ganz "normales" Verhalten ist, wenn es die gleiche Seite ist, und ob das auch über verschiedene URL´s so möglich wäre.
DerWoWusste
Lösung DerWoWusste 05.01.2018, aktualisiert am 08.01.2018 um 08:21:47 Uhr
Goto Top
Wie vermutet: weder Opera, noch Firefox, noch Chrome lassen das zu.
->siehe Passwörter nicht im Browser abspeichern - Fall-Beispiel plausibel? - geht doch bei einigen/bzw. den meisten.
Nebenbei: beachte auch, was sie schreiben:
our third-party script is only able to recover the credentials you saved for this website (senglehardt.com). It is not possible for us to access credentials for other websites
Das funktioniert - wenn überhaupt - nur auf der eigenen Seite.

Edit: Du schreibst:
Das habe ich auch schon gemacht. Die Daten wurden auch ausgegeben.
Dann nimm bitte aktuelle Browser beim nächsten Mal. Bei welchen geht es denn bei dir?
LordGurke
LordGurke 05.01.2018 aktualisiert um 11:21:09 Uhr
Goto Top
Nachdem viele Webseitenbetreiber vollkommen ungehemmt JavaScript von fremden Quellen (z.B. Bootstrap, jQuery, Werbebanner...) einbinden, wäre ein denkbares Einfallstor, dass einer dieser Anbieter komprommitiert wird — vermutlich durch entsprechend präparierte Werbebanner.
Die können dann den DOM der Seite entsprechend verändern, dass diese unsichtbaren Formulare erzeugt werden und die Daten irgendwo hin schicken.
Da das JavaScript (auch aus der Drittquelle) ja im Kontext der aktuellen Seite ausgeführt wird, greifen diese Beschränkungen hier nicht.

Das Problem ist also durchaus real und erfordert nicht unbedingt, dass die Seite durch den Webseitenbetreiber präpariert wird.
DerWoWusste
DerWoWusste 05.01.2018 um 11:32:27 Uhr
Goto Top
Wenn die Werbebanner denn auf der selben Domain gehostet werden, wofür das Kennwort gespeichert wurde - dann ja. Aber wie gesagt: nur für betroffene Browser und das dürften von den aktuellen fast keine mehr sein.
christophh
christophh 05.01.2018 um 12:04:28 Uhr
Goto Top
Ja es ist tatsächlich ein nicht aktueller Firefox.
Danke für deine Anmerkungen.
thomasreischer
thomasreischer 05.01.2018 um 16:32:19 Uhr
Goto Top
bei mir funktioniert https://senglehardt.com/demo/no_boundaries/loginmanager/sniff.html mit einem aktuellen chrome
DerWoWusste
DerWoWusste 05.01.2018 um 18:08:08 Uhr
Goto Top
Interessant - hier zu Hause funktioniert das Abgreifen der Kennwörter auch - wie die Webseite schon sagt, sollte man Chrome verwenden, muss man zumindest noch einmal irgendwo auf die Seite klicken... ich werde diesen Hinweis doch wohl nicht übersehen haben, als ich es im Büro getestet hatte?

Werde ich Montags noch einmal testen.
DerWoWusste
DerWoWusste 08.01.2018 um 08:18:18 Uhr
Goto Top
Ok, ich muss mich korrigieren:
Nachdem es bei Opera nicht ging (es wurde nicht einmal die e-mail-Adresse angezeigt), hatte ich wohl bei Chrome und FFox nicht mehr genau hingesehen und nicht auf die Seite geklickt. Bei Firefox und Chrome funktioniert der Exploit also, nachdem man auf die Seite klickt, bei Opera nicht. Andere Browser kann ich hier nicht testen.