Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Browser: preventDefault() ermöglicht…

Browser: input ermöglicht Passwortklau

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Browser: input ermöglicht Passwortklau

    Autor: Missingno. 04.12.12 - 10:36

    Szenario: Gib dein Passwort ein(, drücke auf Senden und wir durchsuchen unsere tolle Datenbank mit geknackten Passwörtern ob es eventuell dabei ist).

    Was habe ich gewonnen?

    --
    Dare to be stupid!

  2. Re: Browser: input ermöglicht Passwortklau

    Autor: 7even 04.12.12 - 11:22

    Es geht ja nicht darum, generell ein Passwort mit geknackten Passwörtern zu vergleichen und ne true/false - Geschichte draus zu machen...

    Dem User soll gezeigt werden "Schau mal, wir haben 1000 Passwörter, sicher ist deines auch dabei!" Und der nicht sicherheitsbewusste User denkt sich: "Mein cooles, 1000%ig sicheres Passwort ist da nie dabei" und tippt es ein. Über hidden-fields abspeichern oder whatever und bei Communities, sozialen Netzwerken, Foren etc. ausprobieren bzw. ähnliche Passwörter draus basteln...

    Neue Art des PWD-Phishing oder hab ich da was falsch verstanden...?!?

  3. Re: Browser: input ermöglicht Passwortklau

    Autor: lear 05.12.12 - 00:22

    Beim vorgestellten Ansatz soll der Nutzer davon ausgehen, das er das PW lokal eingibt, während die INPUT box offensichtlich an den Server exponiert.

    Das Problem dieser Denkweise ist aber: sie ist tatsächlich zu komplex.
    i.A. hast Du zwei Arten von Nutzer vor Dir. Den, der den Teufel tun wird, sein Passwort irgendwo einzutippen, wo es nicht hingehört und den, der es wirklich komplett unbedarft auf "plausible" Nachfrage rausrückt, resp. den Unterschied zwischen einer (vermutet) lokalen und einer externen Eingabe ohnehin nicht ermessen kann (ich erinnere mich an den Typen, der irgendwo mal seine komplette TAN Liste reingehackt hat ... =)

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Anzeige
Stellenmarkt
  1. Robert Bosch GmbH, Leonberg
  2. Universität Passau, Passau
  3. Deutsche Telekom Technik GmbH, verschiedene Standorte
  4. SCHOTT AG, Mainz

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Blu-ray-Angebote
  1. 44,49€ (Vorbesteller-Preisgarantie)
  2. 29,99€ (Vorbesteller-Preisgarantie)
  3. 29,99€ (Vorbesteller-Preisgarantie)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Creoqode 2048 im Test: Wir programmieren die größte portable Spielkonsole der Welt
Creoqode 2048 im Test
Wir programmieren die größte portable Spielkonsole der Welt
  1. Arduino 101 Intel stellt auch das letzte Bastler-Board ein
  2. 1Sheeld für Arduino angetestet Sensor-Platine hat keine Sensoren und liefert doch Daten
  3. Calliope Mini im Test Neuland lernt programmieren

Anker Powercore+ 26800 PD im Test: Die Powerbank für (fast) alles
Anker Powercore+ 26800 PD im Test
Die Powerbank für (fast) alles
  1. SW271 Benq bringt HDR-Display mit 10-Bit-Panel
  2. Toshiba Teures Thunderbolt-3-Dock mit VGA-Anschluss
  3. Asus Das Zenbook Flip S ist 10,9 mm flach

Microsoft Surface Pro im Test: Dieses Tablet kann lange
Microsoft Surface Pro im Test
Dieses Tablet kann lange
  1. Surface Diagnostic Toolkit Surface-Tool kommt in den Windows Store
  2. Microsoft Lautloses Surface Pro hält länger durch und bekommt LTE
  3. Microsoft Surface Laptop Vollwertiges Notebook mit eingeschränktem Windows

  1. Quartalsbericht: Amazons Gewinn bricht stark ein
    Quartalsbericht
    Amazons Gewinn bricht stark ein

    Amazons Gewinn ging um 77 Prozent zurück. Der Konzern hat erneut viel investiert. Jeff Bezos war nur kurz reichster Mann der Welt.

  2. Sicherheitslücke: Caches von CDN-Netzwerken führen zu Datenleck
    Sicherheitslücke
    Caches von CDN-Netzwerken führen zu Datenleck

    Black Hat 2017 Mittels Caches von Content-Delivery-Netzwerken und Loadbalancern lassen sich geheime Daten aus Webservices extrahieren. Dafür müssen jedoch zwei Fehler zusammenkommen. Unter anderem Paypal war davon betroffen.

  3. Open Source: Microsoft tritt Cloud Native Computing Foundation bei
    Open Source
    Microsoft tritt Cloud Native Computing Foundation bei

    Nach Google, IBM und Docker tritt jetzt Microsoft der CNCF bei und setzt damit ein weiteres Zeichen für seinen Fokus auf Open Source. Das Unternehmen bringt gleichtzeitig auch Azure-Container-Instanzen heraus.


  1. 22:47

  2. 18:56

  3. 17:35

  4. 16:44

  5. 16:27

  6. 15:00

  7. 15:00

  8. 14:45