1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Zugangsdaten in Gefahr: Browser…

Wieso gibt ein Passwot-Feld überhaupt den Wert raus?

Am 17. Juli erscheint Ghost of Tsushima; Assassin's Creed Valhalla und Watch Dogs Legions konnten wir auch gerade länger anspielen - Anlass genug, um über Actionspiele, neue Games und die Next-Gen-Konsolen zu sprechen! Unser Chef-Abenteurer Peter Steinlechner stellt sich einer neuen Challenge: euren Fragen.
Er wird sie am 16. Juli von 14 Uhr bis 16 Uhr beantworten.
  1. Thema

Neues Thema Ansicht wechseln


  1. Wieso gibt ein Passwot-Feld überhaupt den Wert raus?

    Autor: Michael Berthold 12.07.10 - 01:55

    Die eigentliche Lücke ist mMn, dass ein Passwort-Eingabefeld überhaupt per JavaScript/DOM gelesen werden kann. Den Inhalt per JS festzulegen ist ja OK, aber lesen können muss doch nicht sein, oder?

  2. Re: Wieso gibt ein Passwot-Feld überhaupt den Wert raus?

    Autor: ölf 12.07.10 - 07:03

    Wie sonst willst du z.B. einen Passwort-Manager als Erweiterung implementieren können? (Ja, ich kenne die Antwort, die Userakzeptanz davon dürfte ungefähr 0.0 sein.)

  3. Re: Wieso gibt ein Passwot-Feld überhaupt den Wert raus?

    Autor: olaf 12.07.10 - 08:40

    Der Browser muss das Passwort zum Server übertragen, also muss das Passwort-Feld den Wert "rausgeben".

  4. Re: Wieso gibt ein Passwot-Feld überhaupt den Wert raus?

    Autor: Egal ist 88 12.07.10 - 09:20

    olaf schrieb:
    --------------------------------------------------------------------------------
    > Der Browser muss das Passwort zum Server übertragen, also muss das
    > Passwort-Feld den Wert "rausgeben".


    Aber es reicht, den Inhalt an den Server schicken. Ein auslesen mit JS ist eigentlich nicht nötig.

  5. Re: Wieso gibt ein Passwot-Feld überhaupt den Wert raus?

    Autor: Dick Darlington 12.07.10 - 09:21

    CHAP? Eigentlich müsste doch nur die Antwort auf eine Challenge übermittelt werden, und kein Passwort, oder sehe ich das falsch?
    Oh, jetzt merke ich selber, dass das PW ja trotzdem einmal eingegeben werden muss, und dann um-/weitergeleitet werden kann...
    Aber das könnten doch PW-Manager anfangen, die auf die Challange antworten, somit müsste das PW nur eine einziges Mal im Klartext eingegeben werden, danach übernimmt der Manager. Gibts sowas schon?

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. API Schmidt-Bretten GmbH & Co. KG, Bretten
  2. Mainova AG, Frankfurt am Main
  3. Felsomat GmbH & Co. KG, Königsbach-Stein
  4. operational services GmbH & Co. KG, Frankfurt am Main, Berlin, Dresden, München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 56,53€ (Release: 17. Juli)
  2. (u. a. Deals des Tages: HP 24oh, 24 Zoll LED Full-HD für 95,84€, Acer P6200 Beamer DLP XGA für...
  3. 699€
  4. (u. a. Samsung TU7079 55 Zoll (Modelljahr 2020) für 459€, Samsung LS03R The Frame QLED 49 Zoll...


Haben wir etwas übersehen?

E-Mail an news@golem.de


KI-Startup: Regierung bestätigt Treffen mit Augustus Intelligence
KI-Startup
Regierung bestätigt Treffen mit Augustus Intelligence

Der CDU-Politiker Amthor fungierte als Lobbyist für das KI-Startup Augustus Intelligence. Warum sich die Regierung mit der Firma traf, ist weiter unklar.
Ein Bericht von Friedhelm Greis

  1. Texterkennung OpenAIs API beantwortet "Warum ist Brot so fluffig?"
  2. Cornonavirus Instagram macht Datensatz für Maskenerkennung ungültig
  3. KI Software erfindet Wörter und passende Definitionen dazu

PC-Hardware: Das kann DDR5-Arbeitsspeicher
PC-Hardware
Das kann DDR5-Arbeitsspeicher

Vierfache Kapazität, doppelte Geschwindigkeit: Ein Überblick zum DDR5-Speicher für Server und Desktop-PCs.
Ein Bericht von Marc Sauter


    HTTPS/TLS: Zwischenzertifikate von Tausenden Webseiten fehlerhaft
    HTTPS/TLS
    Zwischenzertifikate von Tausenden Webseiten fehlerhaft

    Viele Webseiten müssen ihre Zertifikate tauschen, da sie von Zwischenzertifikaten ausgestellt wurden, die ein Sicherheitsrisiko darstellen.
    Von Hanno Böck

    1. Nach Safari Chrome und Firefox wollen nur noch einjährige Zertifikate
    2. Sicherheitslücke GnuTLS setzt Session-Keys auf null
    3. Sectigo Abgelaufenes Root-Zertifikat entfacht Ärger