Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Automatisches Ausfüllen von Safari mangelhaft

Wie Heise Online mit Verweis auf eine Analyse eines Sicherheitsexperten von Web-Browsern berichtet, mangelt es besonderes beim automatischen Ausfüllen von Chrome und Safari an Sicherheit. Zwar fielen alle Web-Browser bei dem Großteil der Sicherheitstests durch, doch Chrome und Safari erfüllten gerade einmal 2 von 21 Sicherheitskriterien. Am besten schnitten noch Opera und Firefox mit 7 erfüllten Sicherheitskriterien ab. Unter anderem wurde getestet, ob gespeicherte Formularfelder und -Kennwörter auch an andere Web-Domains gesendet werden können, als zu der Web-Domain bei Speicherung des Formulars. Dies wurde von Betrügern unter anderem bereits auf MySpace ausgenutzt, um an Zugangsdaten zu gelangen. Bedenklich ist hierbei, dass immer noch alle Web-Browser bei diesem Sicherheitsaspekt versagen. In sicherheitskritischen Bereichen sollten Anwender daher auf das automatische Ausfüllen von Formularfeldern verzichten.

Weiterführende Links:
Apples Eskalationskurs und Gebühren-Wirrwarr
Apples Eskalationskurs und Gebühren-Wirrwarr
Visa sah Apple als "existenzielle Bedrohung" an
Visa sah Apple als "existenzielle Bedrohung" an
Leak aus macOS Sequoia: Apple bestätigt neuen Mac mini?
Leak aus macOS Sequoia: Apple bestätigt neuen M...
10 Jahre Yosemite-Design
10 Jahre Yosemite-Design
iPhone 16: Lieferzeiten teils deutlich gestiegen – aktuelle Übersicht
iPhone 16: Lieferzeiten teils deutlich gestiege...
Kopplung "iPhone + Apple Watch" sowie Anbindung von Zubehör: Apple drohen weitere rechtliche Probleme
Kopplung "iPhone + Apple Watch" sowie Anbindung...
watchOS 11: Apple trennt sich von vier Zifferblättern
watchOS 11: Apple trennt sich von vier Zifferbl...
macOS 15, iOS 18: Die ersten Nutzer-Rückmeldungen und frühen Erfahrungen
macOS 15, iOS 18: Die ersten Nutzer-Rückmeldung...

Kommentare

Dirk!15.12.08 15:18
Ja, wirklich peinlich, dass die Browser dort so versagen.

Mich würde mal interessieren wie das auch bei mir inzwischen beliebte Programm 1Password in diesen Punkten abschneidet.

Ein wichtiger Vorteil für mich ist schonmal, dass es die Passworte nur auf Knopfdruck in die Seiten einträgt und nicht automatisch.
0
cmaus@mac.com15.12.08 15:19
Hö?
Ich hab bei dem automatischen Ausfüllen keine Probleme.
Soll man halt Private Browsing nutzen, wenn man den Leuten, die man an den selben Account lässt, nicht vertraut!
0
svrroot15.12.08 15:26
1password hat wohl den vorteil dass der browser beim schließen ALLES (cookies, kennwörter, history usw.) löschen kann und ich trotzdem nicht auf den komfort verzichten muss - wie sicher dieses vorgehen ist bleibt wohl dahingestellt...

svrroot
0
Hühnchen
Hühnchen15.12.08 15:27
Verstehe ich da jetzt was falsch? Aber ich dachte, dass ist doch der Sinn dieses autom. Ausfüllens . Eben dass ich nicht immer den selben Bimborium eintippen muss - auf unterschiedlichen Seiten. Das ist doch auch nicht nur dafür, das immer wieder auf der gleichen Seite zu machen, oder? Wer das nicht will, kann es doch abschalten. Oder soll das dann so laufen, dass immer, wenn er etwas einsetzt ich mich wieder autorisieren muss?
Über die qualität, dessen was der da so alles vorschlägt könnte man eher mal diskutieren.
0
Wowbagger15.12.08 15:28
cmaus@mac.com
Es geht nicht darum, dass diese Lücke lokal, an Deinem Mac ausgenützt werden kann, sondern übers Netz z.B. mittels präparierter Websites.
Among the problems are three in particular that, when combined, allow password thieves to take passwords without the user's knowledge.

1. The destination where passwords are sent is not checked.
2. The location where passwords are requested is not checked.
3. Invisible form elements can trigger password management.
0
sierkb15.12.08 15:35
Dirk!,
svrroot:

Probiert's doch selber aus, wie 1Password abschneidet, hier ist der Test:

Abgesehen davon hat's wohl schon jemand vor euch ausprobiert: . Mit 1Password sieht's also offenbar auch nicht besser aus: anscheinend wohl nur 4 von 22 Tests bestanden...
0
Aronnax15.12.08 15:53
Verstehe ich da jetzt was falsch? Aber ich dachte, dass ist doch der Sinn dieses autom. Ausfüllens . Eben dass ich nicht immer den selben Bimborium eintippen muss - auf unterschiedlichen Seiten. Das ist doch auch nicht nur dafür, das immer wieder auf der gleichen Seite zu machen, oder? Wer das nicht will, kann es doch abschalten. Oder soll das dann so laufen, dass immer, wenn er etwas einsetzt ich mich wieder autorisieren muss?
Über die qualität, dessen was der da so alles vorschlägt könnte man eher mal diskutieren.

Es ist eigentlich seit langen bekannt, dass dieses automatisches Ausfüllen von manipulierten Webseiten ausgenutzt werden kann. Und das alle Browser hier nicht besonderes gut aussehen.

Ein Ergebnis davon ist z.B. das auf allen Webseiten von Banken das mit extra Code, in den Seiten, grundsätzlich verhindert wird bzw. wenn es wirklich wichtige Daten sind, sollte es die Seite erst gar nicht zulassen.

Anderseits, woher sollte der Browser auch wissen, wann es wichtige Daten sind und wo es nur dem Komfort dienlich nicht.
Ist eben auch ein klassischer Konflikt zwischen der Sicherheit und Komfort.
Habe z.B auch schon häufiger gelesen, das Leute sich über Browser bescheren, wenn das automatisches Ausfüllen auf bestimmten Seiten einfach nicht klappen will. Auf den Seiten ihrer Bank z.B.
0
Tiger
Tiger15.12.08 16:04
Der beste Schutz vor betrügerischen Angriffen dieser Art ist: Hirn einschalten, das ist zwar unbequem aber es trainiert auch gleich das Gehirn
0
sierkb15.12.08 16:14
Tiger:

Das blöde ist nur: unser menschliches Gehirn hat eben auch nur begrenzte Fähigkeiten und lässt sich ab und an mal ganz gerne täuschen, ohne dass der betreffende Besitzer was merkst. Das betrifft sowohl DAUs als auch erfahrene Nutzer.

Ansonsten:
0
Tiger
Tiger15.12.08 16:25
Wie viele Passwörter braucht ein Mensch? Ausserdem kann man Passwörter so wählen, dass man sie sich selbst leicht merken kann, sie für andere aber trotzdem nicht herauszubekommen sind.

Selbst wenn man 15 Passwörter braucht ist das für das normale Menschliche Gehirn zu merken
0
sierkb15.12.08 16:30
Tiger:

Der Eine hat keine Schwierigkeiten damit, der Andere hat keine Schwierigkeiten damit. Dass es solche Hilfsmittel wie irgendwelche Passwort-Manager in die Browser eingebaut gibt oder auch als externe Programme, hat ja seinen Ursprung auch irgendwo. Aus irgendeinem Grund sind derlei Helferlein ja mal alle geboren worden.

Abgesehen davon: ich bezweifele, dass Du Dir auch nur ein einziges Passwort im Kopf merken kannst, wenn es nur gründlich und kryptisch und lang genug ausgesucht ist, um dessen Sicherheit zu erhöhen (meinetwegen ein etwas längeres Teilstück eines MD5-Hash-Strings oder einer PGP-Signatur oder oder oder.).
0
Aronnax15.12.08 16:35
Der beste Schutz vor betrügerischen Angriffen dieser Art ist: Hirn einschalten, das ist zwar unbequem aber es trainiert auch gleich das Gehirn

Immer dieser gleiche idiotische Blödsinn von irgendwelchen Besserwissern.
Hirn einschalten, sowas liest man übrigens auch immer mal wieder gerne in den Heise-Foren, wo sich verhaltensgestörte Computer-Nerds über die ach so dummen DAUs auslassen.

Nur mal mal so am Rande:
Wenn man gar nicht weiß, wann und wo ein Problem sein könnte, dann hilft Hirn einschalten gar nichts.

Ist eben nicht jeder ein Computer-Nerd, aber fast jeder Computer-Nerd ein arroganter Besserwisser





0
Wowbagger15.12.08 16:36
Tiger
Das glaub ich nicht. Ein paar Passwörter die öfter gebraucht werden gehen vielleicht noch (auch das nicht bei allen, manche sind schon mit einem oder zwei überfordert), aber 15 verschiedene, einige davon dann auch noch von Websites, die Du nur ein oder zwei Mal im Jahr aufrufst, daran scheitern sicher 90%.
0
Wowbagger15.12.08 16:41
Die beanstandeten Mängel beim automatischen Ausfüllen sind abgesehen davon theoretisch ausnutzbar, ohne dass das für den Benutzer erkennbar wäre.
0
iCode
iCode15.12.08 16:53
Tiger
Meine Schlüsselbundverwaltung zeigt insgesamt über 30 Programmkennworte und 120 Internetkennworte. Und das sind noch nicht mal wirklich viele.

Ich kann nur raten warum Du keine Kennworte besitzt. Vielleicht musst Du nicht arbeiten?
0
fatdancer15.12.08 17:17
Das automatische Ausfüllen kann man doch ausstellen und den Button "Automatisch ausfüllen" halt neben Reload und Bookmark setzen. So braucht es nur einen klick.
0
JayDevlin15.12.08 17:48
Wenn man gar nicht weiß, wann und wo ein Problem sein könnte, dann hilft Hirn einschalten gar nichts.

YMMD! Na wenn das nicht mal ein Kandidat für GBO ist. Sach' mal, denkst du noch oder lebst du schon?
0
DonQ
DonQ15.12.08 18:28
naja, kann jedem nur empfehlen den iq test auf süddeutschen de unausgeschlafen und müde zum ersten mal online auszufüllen und dann paar tage später, ausgeschlafen und wach^^
an apple a day, keeps the rats away…
0
Wowbagger15.12.08 21:00
So viel das Mitdenken sonst auch hilft (es reicht unter OS X normalerweise aus, fast alle Gefahren im Internet abzuwehren), hier wird von Safari und den anderen Browsern einfach nicht/zu wenig geprüft, wo die gespeicherten Informationen eingefügt werden, das ist für den Benutzer nicht ersichtlich, außer er studiert bei jedem Seitenaufruf den Quelltext.
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.