News Auch auf Facebook & Gmail: Chrome-Erweiterungen können Passwörter im Klartext auslesen
Ranayna
Vice Admiral
- Registriert
- Mai 2019
- Beiträge
- 6.489
Cool Master
Fleet Admiral
- Registriert
- Dez. 2005
- Beiträge
- 37.477
Syrato schrieb:
Ja, kann durchaus sein. Wobei wenn die Sachen direkt mit dabei wären und sie im Einrichtungsassistent angesprochen werden kann sich das ändern
Simanova
Commodore
- Registriert
- Dez. 2012
- Beiträge
- 4.579
Stellungnahme von Amazon (Bleeping Computer)
Kann ich bestätigen. Amazon nutzt Events um einen Zugriff auf das Feld zu unterbinden.
Kann ich bestätigen. Amazon nutzt Events um einen Zugriff auf das Feld zu unterbinden.
x.treme
Captain
- Registriert
- Sep. 2008
- Beiträge
- 3.098
War auch recht schockiert, als ich gesehen habe was für umfangreiche Rechte die meisten Plugins einfordern.
Und wäre ja nicht das erste Mal, dass ein anfangs noch "seriöses" Plugin später verkauft wird und sich alle Daten zieht ...
Nutze mittlerweile einen maximal minimalen Ansatz bei Browser-Extensions.
Brave-Browser der die meisten Features die ich brauche eh schon abdeckt + KeePass.
Das war's
Ansonsten noch weitere spezialisierte Browser-Instanzen, e.g. für Shopping, wo ich dann ein wenig mehr Extensions habe (Shoop, etc.) aber auch mehr 3rd-Party Cookies etc. erlaube.
Und wäre ja nicht das erste Mal, dass ein anfangs noch "seriöses" Plugin später verkauft wird und sich alle Daten zieht ...
Nutze mittlerweile einen maximal minimalen Ansatz bei Browser-Extensions.
Brave-Browser der die meisten Features die ich brauche eh schon abdeckt + KeePass.
Das war's
Ansonsten noch weitere spezialisierte Browser-Instanzen, e.g. für Shopping, wo ich dann ein wenig mehr Extensions habe (Shoop, etc.) aber auch mehr 3rd-Party Cookies etc. erlaube.
Ranayna
Vice Admiral
- Registriert
- Mai 2019
- Beiträge
- 6.489
murdock_cc
Ensign
- Registriert
- Dez. 2015
- Beiträge
- 198
schniposa2019 schrieb:Ich habe und hatte noch nie eine Erweiterung installiert. Viele halten mich für verrückt weil ich ohne Adblocker unterwegs bin....
Ich mag dir ja nicht den Tag versauen, aber hast du schon mal von Malvertising gehört?
Wer braucht denn für sowas AddOns? Spätestens seit es Pi-Hole gibt ist das Ganze selbst für Standarduser problemlos per eigenem DNS-Servers machbar…schniposa2019 schrieb:
Ok, ist natürlich eine Investition einen Raspberry zu kaufen, wenn man da sonst keine Verwendung für hat 🤓
Linuxfreakgraz
Lt. Commander
- Registriert
- Juli 2018
- Beiträge
- 1.062
Gott sei Dank verwende ich nicht Chrome, aber ich kann mir gut vorstellen das bei dem von mir verwendeten Firefox es die Probleme auch gibt.
Donnidonis
Commander
- Registriert
- Apr. 2009
- Beiträge
- 2.713
Ein Standarduser hat aber keinen RaspberryPi oder sonstiges, erst recht kein PiHole / AdGuard. Der Standarduser hat meist nicht mal einen Adblocker.cruscz schrieb:
eRacoon
Rear Admiral
- Registriert
- Aug. 2007
- Beiträge
- 5.205
Wird denn der DOM Zugriff unter den Berechtigungen angezeigt, also kann ich das aktiv beurteilen als User?
Wie würde das im deutschen heißen, finde bei meinen Addons (Bezahlter VPN Anbieter) nur das als Maximum, das erste klingt aber sehr danach?
Berechtigungen
Wie würde das im deutschen heißen, finde bei meinen Addons (Bezahlter VPN Anbieter) nur das als Maximum, das erste klingt aber sehr danach?
Berechtigungen
- Alle deine Daten auf allen Websites lesen und ändern
- Datenschutzeinstellungen ändern
Das ist nichts neues und jeder Web-Entwickler der sein Geld Wert ist weiß das. Wenn ihr einer Extension Vollzugriff gebt heißt das eben Vollzugriff. Unabhängig vom Browser.
Die Extension kann dann theoretisch auch einen Keylogger installieren und alle Eingaben an einen externen Server senden. Auf data Attribute im DOM kommt es dann auch nicht mehr an.
Die Extension kann dann theoretisch auch einen Keylogger installieren und alle Eingaben an einen externen Server senden. Auf data Attribute im DOM kommt es dann auch nicht mehr an.
naoki
Lt. Junior Grade
- Registriert
- Jan. 2007
- Beiträge
- 505
Wenn ich das richtig verstanden habe ist es ein komplexeres Problem, dass alle Browser, wenn auch vielleicht unterschiedlich stark betrifft.
Zunächst gewähren Browser den Add-ons Zugriff auf die im Browser abgelegten Credentials (Benutzername und Passwort). Das hängt klar von der Umsetzung im Browser ab und kann man umgehen, indem man die Passworter, wie schon zuvor erwähnt, in einem Passwortmanager (Keepass, KeepassXC etc.) außerhalb ablegt und über z.B. Autofill einfügt. Kostet natürlich Komfort.
Das verhindert aber nicht, dass Add-ons grundsätzlich die Credentials abgreifen, egal ob automatisch ausgefüllt oder manuell eingegeben. Entweder, weil der Browser die Daten nicht schützt oder weil der Diensteanbieter die Daten auf der Website ungeschützt im DOM ablegt. Fakt ist bei der Eingabe liegen BN+Passwort immer im Klartext vor und werden erst beim Abschicken per Transportverschlüsslung geschützt. Das betrifft dann auch jede andere Lücke, die Zugang zum Browser erlangt. Dem Problem kann man zum Teil begegnen, wenn man sich sehr radikal von Add-ons verabschiedet - wurde ja auch bereits erwähnt. Löst leider nicht das Thema mitlesen im Browser bei anderen Lücken auf dem System.
Etwas sicherer kann man mMn nur sein, wenn man eine 2FA nutzt, der zweite Faktor nutzt i.d.R. einen anderen Kanal. Klar, der muss auch wieder eingegeben werden, damit ist es dann aber maximal möglich, die Session zu kapern bzw. mitzulesen. Abhängig davon, wie der Dienst das umgesetzt hat.
Trotzdem sehr bedenklich..
Zunächst gewähren Browser den Add-ons Zugriff auf die im Browser abgelegten Credentials (Benutzername und Passwort). Das hängt klar von der Umsetzung im Browser ab und kann man umgehen, indem man die Passworter, wie schon zuvor erwähnt, in einem Passwortmanager (Keepass, KeepassXC etc.) außerhalb ablegt und über z.B. Autofill einfügt. Kostet natürlich Komfort.
Das verhindert aber nicht, dass Add-ons grundsätzlich die Credentials abgreifen, egal ob automatisch ausgefüllt oder manuell eingegeben. Entweder, weil der Browser die Daten nicht schützt oder weil der Diensteanbieter die Daten auf der Website ungeschützt im DOM ablegt. Fakt ist bei der Eingabe liegen BN+Passwort immer im Klartext vor und werden erst beim Abschicken per Transportverschlüsslung geschützt. Das betrifft dann auch jede andere Lücke, die Zugang zum Browser erlangt. Dem Problem kann man zum Teil begegnen, wenn man sich sehr radikal von Add-ons verabschiedet - wurde ja auch bereits erwähnt. Löst leider nicht das Thema mitlesen im Browser bei anderen Lücken auf dem System.
Etwas sicherer kann man mMn nur sein, wenn man eine 2FA nutzt, der zweite Faktor nutzt i.d.R. einen anderen Kanal. Klar, der muss auch wieder eingegeben werden, damit ist es dann aber maximal möglich, die Session zu kapern bzw. mitzulesen. Abhängig davon, wie der Dienst das umgesetzt hat.
Trotzdem sehr bedenklich..
Zuletzt bearbeitet: