Berny
23.11.2006, 20:12
Im Firefox-Browser wurde eine Sicherheitslücke entdeckt, die unter Umständen schwere Folgen haben könnte.
Es geht um die Funktion, mittels dem Passwortmanager Passwörter zu speichern.
Firefox überprüft aber nur die Domain für die Formulare, weshalb es zu folgendem theoretischem Vorgang kommen könnte:
Ein Hacker gibt auf einem Forum mittels HTML-Code ein Formular ein, das die Felder des Loginfensters hat.
Hat man jetzt im Passwortmanager für dieses Forum die Zugangsdaten abgespeichert, so werden die Formularfelder automatisch ausgefüllt.
Wird dieses Formular dann abgesendet, werden die Daten an jemanden anderen geschickt.
Warum nur eine theoretische Lücke?
1) Man sollte immer checken, was man an Formular-Daten so absendet.
2) sicherheitsrelevante Passwörter (zB Ebay oder Onlinebanking) sollte man grundsätzlich nicht abspeichern, was, wenn der PC gestohlen wird, die Festplatte abhanden kommt oder jemand anderer (zB Kinder) am PC sitzen?
3) Der Hacker muss die Möglichkeit haben, auf einer fremden Seite ein derartiges Formular zu erstellen (und das geht auf normalen Seiten gar nicht, höchstens bei Foren und ähnlichen interaktiven Seiten, zB geht diese Funktion hier im Forum gar nicht, weil die html oder script-Texte übersetzt werden, und damit an Funktionen verlieren!)
Es wird empfohlen, den Passwortmanager vorübergehend zu deaktivieren, solange, bis das Problem behoben wird (sollte bald der Fall sein)
Ich gehe nicht soweit, ich denke, es sollte reichen, dieses Thema einfach sensibel zu behandeln und aufpassen, wenn plötzlich in irgendwelchen Formularfeldern irgendwas auftaucht!
Sollte aber jemand sicherheitsrelevante Passwörter gespeichert haben (zB Ebay oder ähnliches), dann würde ich auch unbedingt die Deaktivierung des Passwortmanagers empfehlen !!!
Es geht um die Funktion, mittels dem Passwortmanager Passwörter zu speichern.
Firefox überprüft aber nur die Domain für die Formulare, weshalb es zu folgendem theoretischem Vorgang kommen könnte:
Ein Hacker gibt auf einem Forum mittels HTML-Code ein Formular ein, das die Felder des Loginfensters hat.
Hat man jetzt im Passwortmanager für dieses Forum die Zugangsdaten abgespeichert, so werden die Formularfelder automatisch ausgefüllt.
Wird dieses Formular dann abgesendet, werden die Daten an jemanden anderen geschickt.
Warum nur eine theoretische Lücke?
1) Man sollte immer checken, was man an Formular-Daten so absendet.
2) sicherheitsrelevante Passwörter (zB Ebay oder Onlinebanking) sollte man grundsätzlich nicht abspeichern, was, wenn der PC gestohlen wird, die Festplatte abhanden kommt oder jemand anderer (zB Kinder) am PC sitzen?
3) Der Hacker muss die Möglichkeit haben, auf einer fremden Seite ein derartiges Formular zu erstellen (und das geht auf normalen Seiten gar nicht, höchstens bei Foren und ähnlichen interaktiven Seiten, zB geht diese Funktion hier im Forum gar nicht, weil die html oder script-Texte übersetzt werden, und damit an Funktionen verlieren!)
Es wird empfohlen, den Passwortmanager vorübergehend zu deaktivieren, solange, bis das Problem behoben wird (sollte bald der Fall sein)
Ich gehe nicht soweit, ich denke, es sollte reichen, dieses Thema einfach sensibel zu behandeln und aufpassen, wenn plötzlich in irgendwelchen Formularfeldern irgendwas auftaucht!
Sollte aber jemand sicherheitsrelevante Passwörter gespeichert haben (zB Ebay oder ähnliches), dann würde ich auch unbedingt die Deaktivierung des Passwortmanagers empfehlen !!!