Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
NewsAuch auf Facebook & Gmail: Chrome-Erweiterungen können Passwörter im Klartext auslesen
Viele Chrome-Erweiterungen versorgen ihre Anwender mit nützlichen Features und sorgen so für eine angenehmere Erfahrung beim Surfen im Web. Häufig reichen die Berechtigungen dieser Tools aber zu weit. Forschern ist es gelungen, mit einer Chrome-Extension Passwörter teils namhafter Webportale im Klartext abzugreifen.
Genau deswegen sage ich seit Jahren, sollten einige Funktionen von populären Erweiterungen direkt in den Kern der Browser gehen. Gutes Beispiel dafür ist Vivaldi mit den Maus Gesten. Das sollte einfach überall dabei sein. Die wenige KB oder MB machen den Kuchen auch nicht fett und mittlerweile ist die HW auch eher weniger ein Problem als vor 10 oder 20 Jahren.
Mich würde ja interessieren, ob neben Chromium-Browsern auch Firefox oder Safari davon betroffen sind? Ich würde von der Beschreibung mal davon ausgehen, aber irgendwie scheint die Meldung überall nur mehr oder weniger abgeschrieben zu werden 💩
Dass Adblock nicht vertrauenswürdig ist, ist schon sehr lange bekannt. uBlock ist das Mittel der Wahl!
Die Risiken die von Werbung ausgehen sind höher als von guten Werbeblockern wie uBlock.
(Adblock gehört eben nicht dazu!) https://ublockorigin.com/de
Und Passwörter sollten niemals im Browser oder deren Addons gespeichert werden.
Einfach KeePass mit "Autofill-Funktion" ohne Browser-Integration, weil die Autofill-Funktion nur das Passwort "schreibt, Tab drückt, nochmal schreibt, Enter drückt und vom Zwischenspeicher löscht".
Firefox verwendet eine eigene Engine. Glaube kaum, dass die Entwickler bei Mozilla die Fehler von Google kopiert haben.
Jedoch sei der Zugriff auf Passwortfelder nicht grundsätzlich als Sicherheitsproblem einzustufen, sofern eine Erweiterung die Berechtigungen dafür ordnungsgemäß einhole.
Der Zugriff auf Passwortfelder sollte niemals durch Drittprogramme oder Addons möglich sein. Egal wie, wann wo. Welch unglaublich naive Aussage von Google.
Aber das ist eben das Problem wenn man diesem Monopolisten kein Einhalt gebietet und der machen darf was er will und unsere "dumme" Politik schaut wie so ein naives Kleinkind tatenlos zu.
Wenn man bedenkt was das für ein Theater war beim IE um die Jahrtausendwende, eine Schande das hier Google noch nicht in die Schranken gewiesen wurde.
Wenn ich das richtig verstehe, liegt das nicht zwangsweise an den Addons allein, sondern auch an den Website-Erstellern. Und hier ist Google mit dabei. Klar gibt es zu genüge Addons, die das DOM auslesen und bearbeiten können. Müssen sie ja auch, wenn Objekte versteckt, ausgeblendet, entfernt, usw. werden sollen. Wenn dann aber auch die Werte, die man in Eingabefeldern eingibt dynamisch ins DOM eingetragen werden, dann können Addons die Werte halt auch auslesen.
Beispiel: Google Login. Eingabe im Passwortfeld fügt den Wert automatisch im Klartext ins DOM ein. Rechte Seite unter data-inital-Value.
Btw. das ist nicht wirklich mein Passwort.
Ob es im Browser nun Sicherheiten gibt, die das Input Felder des Typs Password schützen? Keine Ahnung. Aber so ist es halt möglich sämtliche Felder auszulesen. Und das würde dann auch potentiell alle Browser betreffen, oder verstehe ich hier was falsch? Meine Screenshots sind nämlich mit FF gemacht.
Naja, es ist ja nicht unbedingt ein Implementierungsproblem, sondern eher ein konzeptionelles bzgl wie Erweiterungen Berechtigungen anfragen können. Und da sind WebExtensions meines Wissens schon recht nah beieinander zwischen chromium und FF.
Hochinteressant.
Ob so mancher "Hack" auf diesen Luecken beruht?
Ich kenne mich mit Webprogrammierung nicht aus, die Formulierung im Artikel laesst drauf schliessen, das es auch anders ginge als die Passwoerter im Klartext im DOM stehen zu haben?
Wenn das aber der Fall ist, ist das wirklich ein Problem der Addons, und nicht vielmehr ein Problem der jeweiligen Webseiten?
Das Addons oft weitgehende Rechte haben ist ja in der Regel auf den Downloadseiten vermerkt. Steht da "Can access and Modify all website data" oder sowas in der Art werde ich immer stutzig. Dementsprechend habe ich auch nur ein Addon installiert: uBlock Origin.
Dem vertraue ich genug, genauso wie ich ja auch Mozilla vertraue.
Wenn ich das richtig verstehe, liegt das nicht zwangsweise an den Addons allein, sondern auch an den Website-Erstellern. Und hier ist Google mit dabei.
Beispiel: Google Login. Eingabe im Passwortfeld fügt den Wert automatisch im Kalrtext ins DOM ein. Rechte Seite unter data-inital-Value. Anhang anzeigen 1393620
Falsch. Die Addons lesen die Passwörter auch beim manuellen eintippen aus. Darum geht es ja.
Die Eingabefelder sind ungeschützt. Das hat nichts mit dem Passwortsave oder der Auto-Speicher-Funktion zu tun.
