Abo Login
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Browser: preventDefault() ermöglicht…

Browser: input ermöglicht Passwortklau

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Browser: input ermöglicht Passwortklau

    Autor: Missingno. 04.12.12 - 10:36

    Szenario: Gib dein Passwort ein(, drücke auf Senden und wir durchsuchen unsere tolle Datenbank mit geknackten Passwörtern ob es eventuell dabei ist).

    Was habe ich gewonnen?

    --
    Dare to be stupid!

    Benutzer wird von Ihnen ignoriert. Anzeigen

  2. Re: Browser: input ermöglicht Passwortklau

    Autor: 7even 04.12.12 - 11:22

    Es geht ja nicht darum, generell ein Passwort mit geknackten Passwörtern zu vergleichen und ne true/false - Geschichte draus zu machen...

    Dem User soll gezeigt werden "Schau mal, wir haben 1000 Passwörter, sicher ist deines auch dabei!" Und der nicht sicherheitsbewusste User denkt sich: "Mein cooles, 1000%ig sicheres Passwort ist da nie dabei" und tippt es ein. Über hidden-fields abspeichern oder whatever und bei Communities, sozialen Netzwerken, Foren etc. ausprobieren bzw. ähnliche Passwörter draus basteln...

    Neue Art des PWD-Phishing oder hab ich da was falsch verstanden...?!?

    Benutzer wird von Ihnen ignoriert. Anzeigen

  3. Re: Browser: input ermöglicht Passwortklau

    Autor: lear 05.12.12 - 00:22

    Beim vorgestellten Ansatz soll der Nutzer davon ausgehen, das er das PW lokal eingibt, während die INPUT box offensichtlich an den Server exponiert.

    Das Problem dieser Denkweise ist aber: sie ist tatsächlich zu komplex.
    i.A. hast Du zwei Arten von Nutzer vor Dir. Den, der den Teufel tun wird, sein Passwort irgendwo einzutippen, wo es nicht hingehört und den, der es wirklich komplett unbedarft auf "plausible" Nachfrage rausrückt, resp. den Unterschied zwischen einer (vermutet) lokalen und einer externen Eingabe ohnehin nicht ermessen kann (ich erinnere mich an den Typen, der irgendwo mal seine komplette TAN Liste reingehackt hat ... =)

    Benutzer wird von Ihnen ignoriert. Anzeigen

Neues Thema Ansicht wechseln


Entschuldigung, nur registrierte Benutzer dürfen in diesem Forum schreiben. Klicken Sie hier um sich einzuloggen


Anzeige
  1. Online Prozessmanager (m/w)
    Home Shopping Europe GmbH, Ismaning Raum München
  2. IT Administrator SAP (m/w)
    CureVac GmbH, Tübingen
  3. Mitarbeiter Kundendatenmanagement (m/w)
    Hornbach-Baumarkt-AG, Neustadt an der Weinstraße
  4. IT-Consultant für IT-Strategie und Organisation (m/w)
    Janz IT AG, Hamburg, Hannover, Oldenburg, Paderborn

 

Detailsuche



Blu-ray-Angebote
  1. NUR NOCH BIS SONNTAG: Blu-rays je 5 EUR
    (u. a. John Dies at the End, Odd Thomas, Ong-Bak, Daybreakers, The Guard)
  2. 3D-Blu-rays bis zu 40% günstiger
    (u. a. Wacken der Film, El Gringo, Sharktopus, Unsere Erde, Street Dance)
  3. Fack ju Göhte [Blu-ray]
    7,50€

 

Weitere Angebote



Haben wir etwas übersehen?

E-Mail an news@golem.de


New Horizons: Pluto wird immer faszinierender
New Horizons
Pluto wird immer faszinierender
  1. Die Woche im Video Trauer, Tests und Windows 10
  2. New Horizons Gruß aus den Pluto-Bergen
  3. Raumfahrt New Horizons wirft einen kurzen Blick auf den Pluto

In eigener Sache: Preisvergleich bei Golem.de
In eigener Sache
Preisvergleich bei Golem.de
  1. In eigener Sache News von Golem.de bei Xing lesen
  2. In eigener Sache Golem.de erweitert sein Abo um eine Schnupper-Version

Deep-Web-Studie: Wo sich die Cyberkriminellen tummeln
Deep-Web-Studie
Wo sich die Cyberkriminellen tummeln
  1. Identitätsdiebstahl Gesetz zu Datenhehlerei könnte Leaking-Plattformen gefährden

  1. Tor-Netzwerk: Öffentliche Bibliotheken sollen Exit-Relays werden
    Tor-Netzwerk
    Öffentliche Bibliotheken sollen Exit-Relays werden

    Geht es nach den Plänen des Library-Freedom-Projekts sollen künftig alle öffentlichen Bibliotheken in den USA einen Exit-Server für das Tor-Netzwerk bereitstellen.

  2. Bitcoin: Mt.-Gox-Gründer Mark Karpelès verhaftet
    Bitcoin
    Mt.-Gox-Gründer Mark Karpelès verhaftet

    Der ehemalige Chef der insolventen Bitcoin-Börse Mt. Gox ist von der japanischen Polizei verhaftet worden. Er soll die Computersysteme manipuliert haben, um sich 1 Million US-Dollar zu überweisen.

  3. Windows 10: Microsoft gibt Enterprise-Version frei
    Windows 10
    Microsoft gibt Enterprise-Version frei

    Kunden mit Volumenlizenzen können nun Windows 10 Enterprise nutzen. Außerdem gibt es eine 90-Tage-Testversion. Die Enterprise-Version bietet zudem Neuerungen wie Device Guard, mit denen die Auswirkungen von Zero-Day-Exploits minimiert werden sollen.


  1. 12:40

  2. 12:00

  3. 11:22

  4. 10:34

  5. 09:37

  6. 18:46

  7. 17:49

  8. 17:26