Abo
  1. Foren
  2. Kommentare
  3. Applikationen
  4. Alle Kommentare zum Artikel
  5. › Microsoft-Browser: Internet…

Passworteingabe nach wie vor VÖLLIG UNSICHER!

  1. Thema

Neues Thema Ansicht wechseln


  1. Passworteingabe nach wie vor VÖLLIG UNSICHER!

    Autor: Dwezel 26.02.13 - 17:58

    Nach wie vor kann man alle Eingabefelder und auch "geschütze" Passwortfelder mit 'nem einfachen VB Skript auslesen. Da braucht man nicht mal nen Keylogger.

    Einfach lachhaft.
    Ich kann nur empfehlen den IE daher nicht zu nutzen wenn man Passwörter wo eingeben muss.

  2. Re: Passworteingabe nach wie vor VÖLLIG UNSICHER!

    Autor: TheUnichi 26.02.13 - 18:06

    Dwezel schrieb:
    --------------------------------------------------------------------------------
    > Nach wie vor kann man alle Eingabefelder und auch "geschütze"
    > Passwortfelder mit 'nem einfachen VB Skript auslesen. Da braucht man nicht
    > mal nen Keylogger.
    >
    > Einfach lachhaft.
    > Ich kann nur empfehlen den IE daher nicht zu nutzen wenn man Passwörter wo
    > eingeben muss.

    Du kannst in JavaScript alleine jedes Input jederzeit in jedem Browser auslesen, dass muss so sein, denn irgendwie muss dein AJAX Login wissen, welches Passwort er nun an deine Scripte übermittelt

    Nicht mehr als Gebashe aus Unwissenheit

  3. Re: Passworteingabe nach wie vor VÖLLIG UNSICHER!

    Autor: Dwezel 26.02.13 - 18:13

    > Du kannst in JavaScript alleine jedes Input jederzeit in jedem Browser
    > auslesen, dass muss so sein, denn irgendwie muss dein AJAX Login wissen,
    > welches Passwort er nun an deine Scripte übermittelt

    Ja, schon, aber beim IE braucht man nicht mal nen Java Script das irgendwo ja eingeschmuggelt werden muss, meist muss dazu ja der Server komprommitiert werden.

    Aber beim IE reicht ein kleiner lokaler Trojaner als VB Skript (das Skript läuft dabei völlig ausserhalb des IEs). Ich glaub nicht, dass der lokale Zugriff auf den IE von Virenscanner da überwacht wird. Und ein kleiner Trojaner lässt sich auf 'nem PC viel leichter einschmuggeln als 'nen Server zu hacken.



    2 mal bearbeitet, zuletzt am 26.02.13 18:15 durch Dwezel.

  4. Re: Passworteingabe nach wie vor VÖLLIG UNSICHER!

    Autor: wmayer 26.02.13 - 18:23

    Du solltest verhindern, dass ein Trojaner auf deinem Rechner ist.

  5. Re: Passworteingabe nach wie vor VÖLLIG UNSICHER!

    Autor: TheUnichi 26.02.13 - 18:28

    Dwezel schrieb:
    --------------------------------------------------------------------------------
    > > Du kannst in JavaScript alleine jedes Input jederzeit in jedem Browser
    > > auslesen, dass muss so sein, denn irgendwie muss dein AJAX Login wissen,
    > > welches Passwort er nun an deine Scripte übermittelt
    >
    > Ja, schon, aber beim IE braucht man nicht mal nen Java Script das irgendwo
    > ja eingeschmuggelt werden muss, meist muss dazu ja der Server
    > komprommitiert werden.
    >
    > Aber beim IE reicht ein kleiner lokaler Trojaner als VB Skript (das Skript
    > läuft dabei völlig ausserhalb des IEs). Ich glaub nicht, dass der lokale
    > Zugriff auf den IE von Virenscanner da überwacht wird. Und ein kleiner
    > Trojaner lässt sich auf 'nem PC viel leichter einschmuggeln als 'nen Server
    > zu hacken.

    Ja, JavaScript muss also serverseitig modifiziert werden, soso.

    Kannst ja mal die ID deines Passwort-Feldes raussuchen und in JEDEM Browser auf der aktuellen Seite ein Passwort eingeben und folgendes in die URL Zeilen oben eingeben und Enter drücken

    javascript:window.alert(document.getElementById( 'idDesPasswortFeldes' ).value);

    Du wirst lachen (Oder weinen, je nachdem)

  6. Re: Passworteingabe nach wie vor VÖLLIG UNSICHER!

    Autor: Dwezel 26.02.13 - 18:28

    wmayer schrieb:
    --------------------------------------------------------------------------------
    > Du solltest verhindern, dass ein Trojaner auf deinem Rechner ist.

    Das ist ja eh klar.

    Aber ich hab ja auch nen Airbag im Auto, auch wenn ich nicht vorhabe einen Unfall zu bauen - genauso wenig hab ich vor mir nen Trojaner zu installieren.
    Aber selbst mit Virenscanner kann das jedem passieren, wenn man im Netz unterwegs ist. Und der IE lässt hier den Airbag weg.

  7. Re: Passworteingabe nach wie vor VÖLLIG UNSICHER!

    Autor: Dwezel 26.02.13 - 18:34

    > Ja, JavaScript muss also serverseitig modifiziert werden, soso.

    oder halt irgendwie in den Browser eingeschleust werden, das geht natürlich auch lokal.
    Bei IE muss man aber eben im Vergleich zu den anderen Browsern nix einschleusen.

    Wollt ja nur darauf hinweisen, dass eben beim IE der Zugriff auf die eingegeben Passwörter von ausserhalb des Browsers (also einer anderen Exe oder einem VBS/VBA Script) sehr, sehr einfach möglich ist. Bei den anderen Browsern kenne ich da keinen Weg, da braucht man wenigstens zuusätzlich ein AddIn.



    1 mal bearbeitet, zuletzt am 26.02.13 18:37 durch Dwezel.

  8. Re: Passworteingabe nach wie vor VÖLLIG UNSICHER!

    Autor: TheUnichi 26.02.13 - 18:45

    Dwezel schrieb:
    --------------------------------------------------------------------------------
    > > Ja, JavaScript muss also serverseitig modifiziert werden, soso.
    >
    > oder halt irgendwie in den Browser eingeschleust werden, das geht natürlich
    > auch lokal.
    > Bei IE muss man aber eben im Vergleich zu den anderen Browsern nix
    > einschleusen.
    >
    > Wollt ja nur darauf hinweisen, dass eben beim IE der Zugriff auf die
    > eingegeben Passwörter von ausserhalb des Browsers (also einer anderen Exe
    > oder einem VBS/VBA Script) sehr, sehr einfach möglich ist. Bei den anderen
    > Browsern kenne ich da keinen Weg, da braucht man wenigstens zuusätzlich ein
    > AddIn.


    Nein eben nicht, das ist Schwachsinn.
    Die Textfelder deiner Browser kriege ich in jeder Sprache in Sekunden angesprochen und kann auslesen, was ich will. Da haben IE, FF, Chrome und Co. absolut gar keinen Unterschied. Es ist ein leichtes, in einem Browserfenster JavaScript auszuführen, wie gesagt, man kann es ja sogar direkt über die URL

    Der einzige Unterschied ist, dass die anderen Browser kein VB-Scripting unterstützen, was nun eine Grundsatzdiskussion wäre, denn VB ist nun auch nicht "schlecht", aber halt auch nicht "gut", viele Programme die mit dem IE arbeiten setzen aber darauf.
    Man braucht aber kein VB, um Inputs auszulesen, das geht auch leichter...

  9. Re: Passworteingabe nach wie vor VÖLLIG UNSICHER!

    Autor: Dwezel 26.02.13 - 18:53

    > Nein eben nicht, das ist Schwachsinn.
    HALLO, bitte mal genau lesen und nicht gleich draufhauen! Es geht nicht um Skripte die im Browser laufen!

    Von 'nen Script/Programm, das auch im Browser läuft rede ich NICHT. Da ist klar, dass das bei allen Browsern geht.

    Ich kenne keinen Weg, wie in z.B. mit einem CPP oder C# oder VB- oder Pascal Programm, das als EIGENE Exe unter Windows läuft, auf Chrome, FireFox etc. Zugfriff hat. Eben nur beim IE. Oder geht das? Dann klär mich auf.

    Sorry, hatte mich vielleicht nicht ganz klar ausgedrückt, da VB wohl ja auch im Browser laufen kann (oder?), aber das meinte ich eben NICHT.

  10. Re: Passworteingabe nach wie vor VÖLLIG UNSICHER!

    Autor: TheUnichi 26.02.13 - 19:49

    Dwezel schrieb:
    --------------------------------------------------------------------------------
    > > Nein eben nicht, das ist Schwachsinn.
    > HALLO, bitte mal genau lesen und nicht gleich draufhauen! Es geht nicht um
    > Skripte die im Browser laufen!
    >
    > Von 'nen Script/Programm, das auch im Browser läuft rede ich NICHT. Da ist
    > klar, dass das bei allen Browsern geht.
    >
    > Ich kenne keinen Weg, wie in z.B. mit einem CPP oder C# oder VB- oder
    > Pascal Programm, das als EIGENE Exe unter Windows läuft, auf Chrome,
    > FireFox etc. Zugfriff hat. Eben nur beim IE. Oder geht das? Dann klär mich
    > auf.
    >
    > Sorry, hatte mich vielleicht nicht ganz klar ausgedrückt, da VB wohl ja
    > auch im Browser laufen kann (oder?), aber das meinte ich eben NICHT.

    Eigentlich Programmiersprache unter Windows ist in der Lage, die WinAPI anzusprechen und genau dort lassen sich Fenster-handles abfangen, Mausklicks und Tastaturdrücke simulieren und abfangen und wenn du willst dein gesamtes Betriebssystem steuern. JavaScript in den Browser einzuschleusen ist noch viel banaler, HTTP Traffic abfangen (Nicht HTTPS), HTML modifizieren und JavaScript einschleusen, AJAX Request an eigene Server, crossDomain lässt sich einfach einrichten und schon ist das Ding durch. Oder halt WinAPI, Fensterhandle vom Browser abfangen, Input für die Adresse ansprechen oder die Positionen herausfinden, ein paar Tastatureingaben simulieren, gut is (Wobei man an dem Punkt halt auch gleich die Inputs in der Browserausgabe ansprechen könnte)

    Wie kommst du darauf, dass sowas nur beim IE geht? Was genau soll dafür verantwortlich sein? VB ist wie JavaScript halt auch eine Script-Sprache, die halt nur der IE unterstützt (Weil nur er es will), aber sie kann halt nun auch nicht mehr oder weniger als jede andere Script-Sprache (Abhängig von den Funktionen, die sie bietet natürlich, aber JavaScript hat nun auch lokale Datei-APIs etc.)

    Was genau war der Grund dafür, dass du behauptest, so was geht nur beim IE, wenn es bei allen anderen rein logisch und technisch auch geht?
    Und genau an dem Punkt finde ich diesen gesamten Thread komplett schwachsinnig.

    Sorry, aber so ist es halt

  11. Re: Passworteingabe nach wie vor VÖLLIG UNSICHER!

    Autor: Dwezel 26.02.13 - 20:59

    > unter Windows ist in der Lage, die WinAPI
    > anzusprechen und genau dort lassen sich Fenster-handles abfangen,

    Das geht eben bei den Browsern NICHT, da (ja zum Glück) die Browser in 'ner Sandbox laufen. Da kriegst 'ne nur den Handle auf das Hauptfenster und Zugriff auf dessen Titel, aber mehr nicht. Nur MS führt das beim IE ad absurdum, da beim IE über eine andere Schnittstelle voller Zugriff möglich ist.

    >Was genau war der Grund dafür, dass du behauptest, so was geht nur beim IE, wenn es >bei allen anderen rein logisch und technisch auch geht?
    Nun, das ist eben mein Wissen (s.o.), und das mag lückenhaft sein, aber mir hat noch niemand das Gegenteil bewiesen.
    >Und genau an dem Punkt finde ich diesen gesamten Thread komplett schwachsinnig.
    Es ist einfach auf seinen Ansichten zu sitzen und was man nicht kennt oder nicht versteht als schwachsinnig abzutun, Aber nachfragen, versuchen den anderen zu verstehen und die Dinge neu zu betrachten hilft oft viel weiter und ist auch netter! Schönen Abend noch.

  12. Re: Passworteingabe nach wie vor VÖLLIG UNSICHER!

    Autor: cry88 27.02.13 - 09:29

    Dwezel schrieb:
    --------------------------------------------------------------------------------
    > Aber beim IE reicht ein kleiner lokaler Trojaner als VB Skript (das Skript
    > läuft dabei völlig ausserhalb des IEs). Ich glaub nicht, dass der lokale
    > Zugriff auf den IE von Virenscanner da überwacht wird. Und ein kleiner
    > Trojaner lässt sich auf 'nem PC viel leichter einschmuggeln als 'nen Server
    > zu hacken.

    nicht das jeder normale trojaner einen keylogger mitlaufen lässt damit er jedes passwort sammeln kann und nicht nur die geringe nutzeranzahl des ie abdeckt...

  13. BIG NEWS

    Autor: redmord 27.02.13 - 09:38

    Trojaner können User ausspionieren. :-)

    Im FF und Chrome können via Trojaner alle gespeicherten Passwörter ausgelesen werden. oO. Ein Trojaner könnte sich einfach als Plugin bei FF und Chrome einklinken und alles mitlesen. Trojaner sind schon böse.

  14. Re: Passworteingabe nach wie vor VÖLLIG UNSICHER!

    Autor: redmord 27.02.13 - 09:49

    Weshalb ziehst du dich an einer einzelnen einfachen Möglichkeit auf, wenn es unzählige einfache Möglichkeiten gibt?

    Wenn ein Trojaner auf dem Rechner läuft, ist alles möglich. Da ist die Frage, ob VB nun erst eingeschleust werden muss, total Banane.

    Weißt du weshalb FileZilla Passwörter in klartext speichert? Weil eine öffentlich dokumentierte Verschlüsselung in einem OSS-Produkt total Banane ist.
    Da brauchste nicht mal VB.

  15. Re: Passworteingabe nach wie vor VÖLLIG UNSICHER!

    Autor: Dwezel 27.02.13 - 11:12

    redmord schrieb:
    --------------------------------------------------------------------------------
    > Weshalb ziehst du dich an einer einzelnen einfachen Möglichkeit auf, wenn
    > es unzählige einfache Möglichkeiten gibt?

    Wollte ja nur auf eine (meiner Meinung nach) Sicherheitslücke hinweisen. Aber wenn's keinen interessiert, auch egal.

    > Weißt du weshalb FileZilla Passwörter in klartext speichert?
    Ups, so was ist für mich fahrlässig.
    > Weil eine
    > öffentlich dokumentierte Verschlüsselung in einem OSS-Produkt total Banane
    > ist.
    Sorry, aber diese Aussage ist nun wirklich Banane! Öffentlich dokumentierte bedeutet ja nicht gleich knackbar. Mann Oh Mann, es gibt ja zum Glück asymmetrische Algorithmen. z.B. AES 1024 bit wird oft eingesetzt und ist dokumentiert, aber eben nicht knackbar, ausser mit Brute Force.

  16. Re: Passworteingabe nach wie vor VÖLLIG UNSICHER!

    Autor: redmord 27.02.13 - 11:52

    Dwezel schrieb:
    --------------------------------------------------------------------------------
    > redmord schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Weshalb ziehst du dich an einer einzelnen einfachen Möglichkeit auf,
    > wenn
    > > es unzählige einfache Möglichkeiten gibt?
    >
    > Wollte ja nur auf eine (meiner Meinung nach) Sicherheitslücke hinweisen.
    > Aber wenn's keinen interessiert, auch egal.

    Uninteressant fand ich deine Info nicht, wenn auch der Aufhänger auf mich überzogen wirkt.

    > > Weißt du weshalb FileZilla Passwörter in klartext speichert?
    > Ups, so was ist für mich fahrlässig.

    http://trac.filezilla-project.org/ticket/5530

    > > Weil eine
    > > öffentlich dokumentierte Verschlüsselung in einem OSS-Produkt total
    > Banane
    > > ist.
    > Sorry, aber diese Aussage ist nun wirklich Banane! Öffentlich dokumentierte
    > bedeutet ja nicht gleich knackbar. Mann Oh Mann, es gibt ja zum Glück
    > asymmetrische Algorithmen. z.B. AES 1024 bit wird oft eingesetzt und ist
    > dokumentiert, aber eben nicht knackbar, ausser mit Brute Force.

    Zwischenzeitlich wurde das Ticket mit folgender Begründung geschlossen:

    " Whether passwords are stored encrypted or in plaintext makes no difference in security.

    Two options for storing passwords encrypted:
    a) Transparent encryption with an implicit master key stored somewhere
    b) Encryption with the user required to enter a password to decrypt

    In the first scenario, you can just as well use plain text passwords. If no interaction is needed, everybody still access the passwords, even if they are encrypted.

    The second option would work, but if you always have to enter some master password, you can instead disable saving of passwords completely.

    You can already disable saving of passwords in the settings dialog of FileZilla."

    Grundsätzlich ist das Speichern von Passwörtern in FileZilla strengstens abzuraten. Ich kenne jetzt mehrere Personen, denen hierüber Schadcode auf dem Webspace platziert wurde. In einem Fall hatten wir letztendlich die Vermutung, dass der PC über einen Android-Trojaner kompromittiert wurde.



    1 mal bearbeitet, zuletzt am 27.02.13 11:59 durch redmord.

  17. Re: Passworteingabe nach wie vor VÖLLIG UNSICHER!

    Autor: TTX 27.02.13 - 12:16

    Ein Grund warum ich Filezilla nicht nutze :)
    Die Begründung der Entwickler die PW-File (bzw. deren Inhalt) nicht zu verschlüsseln ist schwachsinnig, jedes andere Programm schafft das auch. Davon abgesehen kann man den User auffordern einen Master Key festzulegen, oder sich einen generieren Key zu speichern. Oder man man weist einfach auf zwei Möglichkeiten hin und lässt dem User die Wahl ... so wie sich das gehört.

  18. Re: Passworteingabe nach wie vor VÖLLIG UNSICHER!

    Autor: redmord 27.02.13 - 12:52

    Was bringt einem auf dem Fileserver abgelegter generierter Key?

    Ich fände die Master-Password-Geschichte auch nicht schlecht. Die lapidare Argumentation, dass man dann gleich das Passwortspeichern ausschalten könne, ist für Home-User zwar ganz sicher richtig, doch wenn ich im Laufe der Zeit auf der Arbeit eine Zahl von 20 oder mehr Kundenserver ansammelt, wäre ein Master-Password schon ganz nett.

  19. Re: Passworteingabe nach wie vor VÖLLIG UNSICHER!

    Autor: TTX 28.02.13 - 08:11

    Den Key legt man ja auch nicht auf dem FileServer ab o.O, ein Masterpasswort könnte auch der User beliebig generieren. Natürlich ist das ganze immer irgendwo knackbar, nichts desto trotz sollte man ein bestimmtes Maß Sicherheit bieten als Entwickler. Ich fahre mit FlashFXP deutlich besser, ist halt nicht umsonst, aber Qualität kostet manchmal :), die File ist da zwar auch Knackbar, aber immerhin muss man sich etwas bemühen...

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Deutsches Krebsforschungszentrum (DKFZ), Heidelberg
  2. WBS GRUPPE, Berlin
  3. Interhyp Gruppe, München
  4. SEG Automotive Germany GmbH, Stuttgart-Weilimdorf

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 69,90€ + Versand (Vergleichspreis 100,83€ + Versand)
  2. für 50,96€ mit Code: Osterlion19
  3. (aktuell u. a. ADATA XPG GAMMIX D3 DDR4-3200 8 GB für 49,99€ + Versand)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Adblock Plus: Adblock-Filterregeln können Code ausführen
Adblock Plus
Adblock-Filterregeln können Code ausführen

Unter bestimmten Voraussetzungen können Filterregeln für Adblocker mit einer neuen Funktion Javascript-Code in Webseiten einfügen. Adblock Plus will reagieren und die entsprechende Funktion wieder entfernen. Ublock Origin ist nicht betroffen.
Von Hanno Böck


    Falcon Heavy: Beim zweiten Mal wird alles besser
    Falcon Heavy
    Beim zweiten Mal wird alles besser

    Die größte Rakete der Welt fliegt wieder. Diesmal mit voller Leistung, einem Satelliten und einer gelungenen Landung im Meer. Die Marktbedingungen sind für die Schwerlastrakete Falcon Heavy in nächster Zeit allerdings eher schlecht.
    Von Frank Wunderlich-Pfeiffer und dpa

    1. SpaceX Raketenstufe nach erfolgreicher Landung umgekippt
    2. Raumfahrt SpaceX zündet erstmals das Triebwerk des Starhoppers
    3. Raumfahrt SpaceX - Die Rückkehr des Drachen

    P30 Pro im Kameratest: Huawei baut die vielseitigste Smartphone-Kamera
    P30 Pro im Kameratest
    Huawei baut die vielseitigste Smartphone-Kamera

    Huawei will mit dem P30 Pro seinen Vorsprung vor den Smartphone-Kameras der Konkurrenez ausbauen - und schafft es mit einigen grundlegenden Veränderungen.
    Ein Test von Tobias Költzsch

    1. Huawei-Gründer "Warte auf Medikament von Google gegen Sterblichkeit"
    2. 5G-Ausbau Sicherheitskriterien führen nicht zu Ausschluss von Huawei
    3. Kritik an Eckpunkten Bitkom warnt vor deutschem Alleingang bei 5G-Sicherheit

    1. Guillaume Faury: Neuer Airbus-Chef setzt auf Elektroflieger
      Guillaume Faury
      Neuer Airbus-Chef setzt auf Elektroflieger

      Der Klimaschutz ist ihm wichtig: Guillaume Faury ist seit knapp zwei Wochen Chef von Airbus. In einem Zeitungsinterview hat er angekündigt, dass der europäische Luft- und Raumfahrtkonzern größere Flugzeuge mit Elektroantrieb bauen werde. Ein kommerzieller Einsatz sei Ende des kommenden Jahrzehnts denkbar.

    2. CIA-Vorwürfe: Huawei soll von chinesischer Regierung finanziert werden
      CIA-Vorwürfe
      Huawei soll von chinesischer Regierung finanziert werden

      Die US-Regierung legt im Handelsstreit mit China nach: Der US-Geheimdienst CIA wirft dem Netzausrüster Huawei vor, Finanzhilfen von der chinesischen Armee und dem Geheimdienst erhalten zu haben.

    3. SpaceX: Dragon-Raumschiff bei Test explodiert
      SpaceX
      Dragon-Raumschiff bei Test explodiert

      Bei einem Triebwerkstest ist ein SpaceX-Raumschiff auf dem Teststand explodiert. Das Raumschiff wurde dabei vollständig zerstört.


    1. 12:55

    2. 11:14

    3. 10:58

    4. 16:00

    5. 15:18

    6. 13:42

    7. 15:00

    8. 14:30