Bei Myspace ist eine neue Phishing-Variante aufgetaucht, die Passwörter aus dem Firefox abgreift und an eine andere Site sendet! Dort werden die Passwörter dann munter für Logins benutzt! Nur durch einen kleinen Layout-Fehler auf der Phishing-Site wurde der Diebstahl bemerkt.
Der Passwort-Manager von FF ist eine schöne Sache, aber dieser Exploit ist der schlichte Horror: Robert Chapin, der den Fehler gestern bei Bugzilla als Bug 360493 gemeldet hat, beschreibt, was ihm passiert ist:
In einem Formular in einem Myspace-Profil befand sich das folgende Attribut:
action="http://membres.lycos.fr/adel88duran/plaguedoctor.php"
Sendet man das Formular ab, wird das Skript ausgeführt. Danach erscheint ein gefälschtes Myspace-Login auf dem fr-Server und schwuppsdiwupps - FF trägt dort Name und Passwort ein, obwohl man sich auf der Domain membres.lycos.fr befindet! Es erscheint keine Warnung. Das funktioniert auch mit FF 1.x-Versionen, wie dieser Proof of Concept zeigt.
Einen Bugfix gibt es noch nicht.
Quelle: Bugzilla
Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge
Ich weiß schon, weshalb ich die Passwortverwaltung in Browsern noch nie genutzt habe. Wenn schon auf dem Computer, dann doch bitte AES-verschlüsselt wie mit KeePass.
Gruß,
Foxtrot
genau meine rede.
jedoch ist es schade, dass es ein solches sicherheitsleck gibt.
In diesem Fall ist der Anwender das Sicherheitsleck: Kennwörter müssen vom System getrennt aufbewahrt werden. Wer das nicht macht, handelt grob fahrlässig.
Im Falle der PIN bei EC-Karten wird ja auch immer wieder gefordert, die PIN nicht in die gleiche Tasche wie die EC-Karte zu packen. Schade ist, daß dieses Grundprinzip bei Software so konsequent ignoriert wird.
Was bitte ist "Schade" an einem Sicherheitsleck, dessen Exploit veröffentlich wurde? Nur so kann eine Lücke geschlossen werden, also ist doch schlicht Freude angesagt, wenn Derartiges bekannt wird!
das größte Sicherheitsleck ist und bleibt der USER am PC, unabhängig vom Betriebssystem bzw. der Anwendung...
die meisten Pw´s hab ich eh im Kopf.
Es ist ja auch nicht grad sinnvoll 10 Accounts zu haben, und für alle das selbe Passwort.
Zb. Ebay - Account und E-Mail Account, Mitsicherheit häufig der Fall ist.
Er trägt das passwort ein, aber sendet er es auch ab? So wie ich das interpretiere ist das genauso schlimm wie "deine IP" etc. Mann bekommt vllt sicherheitsrelevante Daten angezegt aber sie bleiben noch lokal beim Nutzer.
Mit ein bißchen JavaScript-Code bekommt man das Abenden problemlos automatisch hin. Mit noch etwas mehr CSS-Code sieht man nicht einmal das Formular und dass dort Daten eingetragen werden.
Also ich muß schon sagen, wirklich eine hässliche Browserlücke, die leider geeignet ist am Ruf des Firefox zu kratzen.
@Redaktion: Bitte nicht so reisserisch. Dagegen ist ja heise regelrecht objektiv: http://www.heise.de/newsticker/meldung/81410
Also, cih finde die Methode von Opera viel besser. Dort werden "gespeicherte" Felder lediglich farblich hervorgehoben. Klickt man dann auf OK/Submit, so kann nichts passieren. Das einloggen Erfolgt mit dem Button "Log in" oder Shift+X, bei entsprechender Einstellung auch beim weiterblättern mit Space, falls man das Seitenende erreicht hat. Aber die Aoutomatik-JS-Submit-Funktion ist erstmal aus dem Spiel, da der Browser nichts selbstständig einträgt.
Zudem lassen sich die Passwörter gezielt für einzelne seiten speichern.
Damit sind auch mehrere gespeicherte Accounts pro Seite oder Domain möglich, für die ein Auswahlmenü erscheint.
Ich ebenfalls möchte nie wieder auf diese Funktion verzichten.
Wenn ich ständig die Daten beim Mailer, Ebay und Nickles eintippen müssten, dann kann ich gleich zum Steinhammer greifen. So viel Komfort will ich einfach haben.
Das minimiert auch die Gefaht, sich ständig mit dem gleichen Passwort anmelden zu wollen (aber mal ehrlich, wer hat denn bei zwei-drei Dutzend Forummitgliedschaften je ein Passwort für jede???).
Tabu sind nach wie vor "teure" Sachen, wie Onlinebanking und Trading, da wird nichts gespeichert.
BTW: wollte von Web.de weg und schaute mir alle gängige Mailer an. Wahnsinn, fast überall ist das Einloggen über HTTPS erst durch einen optionalen Link angeboten.
Standard bei Yahoo, Arcor, Lycos und Co. immer unverschlüsselt. Bei GMX habe ich gar keine HRRPS-Option gefunden.
Bei Web.de ist es andersrum. Dafür mein Lob.
...ich habe mein opera auch ganz dolle lieb!
;-)
Auch ich verwende seit langer Zeit schon FF. Aber nie würde es mir in den Sinn kommen, Passwörter abzulegen.
Das wäre doch so, als würde ich einen Autoschlüssel im Wagen liegen lassen und den wagen mit einem anderen Schlüssel abschließen ... oder sollte es tatsächlich solche Menshen geben?
wie schon gesagt, für "weniger wichtige" Seiten wie Foren oder ähnliches ist es sehr praktisch.
Mail-Account, Ebay und Online-Banking Passwörter sollte man alledings wirklich nicht speichern.
Greetz,
[.|.|.|.> BlueAge
Der Vergleich ist FALSCH.
Wenn man die Richtung wechselt und dein Autobeispiel auf Computer überträgt, dann ist es, als wenn du im Mailkasten 1 das Passwort für Mailkasten 2 ablegen würdest. BTW ich habe schon Oldtimer gesehen, wo Zündschlüssel und Türschlüssel vom Werk ab verschieden waren, da ginge dein Beispiel sogar ;)
Bei den Browser ist es eh so: die Schlüssel für Auto, Garage, Schäune etc. liegen alle im Schlüsselkasten zuhause. Man hat nur noch ein Schlüssl für die Eingangstür. Sowas passiert in den allermeisten Haushalten, ist irgendwie völlig normal.
Wenn du schon vergleiche ziehst, dann bitte sinnvoll.