frazzlerunning
Commander
- Registriert
- März 2017
- Beiträge
- 2.105
Es schein kein Problem der Browser zu sein, sondern wie der Website-Entwickler die Daten vom User übernimmt.naoki schrieb:
News Auch auf Facebook & Gmail: Chrome-Erweiterungen können Passwörter im Klartext auslesen
Bedenklich, aber nicht ohne Grund gibt es für wichtige Seiten 2FA.
Bei Passkeys sähe das ganze ja noch besser aus.
Doofe Frage: Wenn ich die Zugangsdaten eingebe, sind die Eingabefelder dann sicher vor Angriffen durch Erweiterungen?
Also sind solche Aufrufe in Erweiterungen möglich (also analog, nicht exakt so)?
Ich glaube früher, vor vielen Jahren, wäre das so möglich gewesen, aber mittlerweile nicht mehr oder?
Bei Passkeys sähe das ganze ja noch besser aus.
Ergänzung ()
Doofe Frage: Wenn ich die Zugangsdaten eingebe, sind die Eingabefelder dann sicher vor Angriffen durch Erweiterungen?
Also sind solche Aufrufe in Erweiterungen möglich (also analog, nicht exakt so)?
Ich glaube früher, vor vielen Jahren, wäre das so möglich gewesen, aber mittlerweile nicht mehr oder?
Zuletzt bearbeitet:
naoki
Lt. Junior Grade
- Registriert
- Jan. 2007
- Beiträge
- 505
Doch, wie beschrieben, ist es ein vielschichtiges Problem. Eine Baustelle ist, dass einige Browser den Add-ons erlauben, die gespeicherten Credentials im integrierten Passwortmanager der Browser im Klartext zu lesen. Dadurch können die Add-ons alle Deine dort gespeicherten Credentials abgreifen.frazzlerunning schrieb:
Die anderen Baustellen betreffen auch die Diensteanbieter / Websitebetreiber.
Ergänzung ()
Die Add-ons greifen die Daten auch ab, wenn du BN+PW manuell eingibst, weil sie Zugriff auf die Eingabefelder haben.tollertyp schrieb:
Fred_VIE
Lt. Commander
- Registriert
- Sep. 2006
- Beiträge
- 1.358
Das habe ich schon vermutet, seit die Addons angeben, welche Rechte sie möchten und da die meisten Addons volle Zugriffsrechte verlangen. Ein Beispiel ist da das Youtube Addon, das zum reinen Anzeigen des downvote Icons alle Rechte verlangt, weshalb ich darauf verzichtet habe.
Ein Grund, warum ich Addons deaktiviere, wenn ich online einkaufe und bestimmte Addons gleich garnicht verwende, wenn sie unnötige Rechte verlangen.
Natürlich gäbe es Verschlüsselung, aber die Industrielobby hat unsere Politik ja fest in der Hand und natürlich durchgesetzt, dass Verschlüsselung nicht möglich ist. Alle Browser- und Emailpasswörter sind ja einfach im Browser abgelegt, deshalb wäre es für mich nicht überraschend, wenn alle gespeicherten Passwörter auch leicht zugänglich sind und zusätzlich bei Google, Mozilla, Vivaldi, Microsoft usw. landen.
Ein Grund, warum ich Addons deaktiviere, wenn ich online einkaufe und bestimmte Addons gleich garnicht verwende, wenn sie unnötige Rechte verlangen.
Natürlich gäbe es Verschlüsselung, aber die Industrielobby hat unsere Politik ja fest in der Hand und natürlich durchgesetzt, dass Verschlüsselung nicht möglich ist. Alle Browser- und Emailpasswörter sind ja einfach im Browser abgelegt, deshalb wäre es für mich nicht überraschend, wenn alle gespeicherten Passwörter auch leicht zugänglich sind und zusätzlich bei Google, Mozilla, Vivaldi, Microsoft usw. landen.
*malagant*
Cadet 4th Year
- Registriert
- März 2010
- Beiträge
- 111
Irgendwie missverständlich geschrieben der Artikel. Es geht also um im Browser gespeicherte Passwörter? Da ist wohl hoffentlich jedem klar, dass sicherheitsrelevante Passwörter dort nichts zu suchen haben!
Fred_VIE
Lt. Commander
- Registriert
- Sep. 2006
- Beiträge
- 1.358
Alle PW's, die du eingibst (samt Login) können abgegriffen werden.*malagant* schrieb:
Sicherheitsrelevant? Sind das nicht alle? Wie isses mit Onlinebanking im Browser? Ist das nicht sicherheitsrelevant?
Es würde mich nicht wundern, wenn das auf den Smartphones von den Apps genauso ausgelesen werden kann und, wenn nicht, zumindest von Google, Apple und Konsorten auch gesammelt wird.
*malagant*
Cadet 4th Year
- Registriert
- März 2010
- Beiträge
- 111
Also wenn meine Banking Website mein Passwort im Klartext in den DOM schreibt, dann ist ja wohl meine Bank schuld! Da hilft auch kein Firefox...
Und was ist nichts sicherheitsrelevant? Der Login hier z.B., also jedenfalls für mich.
Und was ist nichts sicherheitsrelevant? Der Login hier z.B., also jedenfalls für mich.
KitKat::new()
Rear Admiral
- Registriert
- Okt. 2020
- Beiträge
- 5.314
Also eigentlich schreibst du das in den DOM - und zwar in ein input-Element der Webseite. Die Website liest das dann nur aus um z.B. den Login durchzuführen.*malagant* schrieb:
Eigentlich ein ganz normales Vorgehen
*malagant*
Cadet 4th Year
- Registriert
- März 2010
- Beiträge
- 111
Und wie machen die anderen 8900 Webseiten das dann? Und wieso ist das nicht der Standard?
Man kann, zumindest in Chrome, den Zugriff der Extensions einschränken. Beispielsweise mit Whitelist/Blacklist auf spezifische Seiten oder mit explizitem aktivieren bei einem Seitenaufruf.
Es geht nicht um den Passwort Manager. Auf im Passwort Manager gespeicherte Passwörter können Extensions nicht zugreifen. Diese werden auch, meines Wissens nach, bei allen großen Browsern verschlüsselt.
Fred_VIE
Lt. Commander
- Registriert
- Sep. 2006
- Beiträge
- 1.358
Die Frage ist. Warum tut das überhaut irgendeine Webseite? Und, kann man sich darauf verlassen, dass Banken und Onlineshops das nicht tun? Naja zumindest beim Banking kommt ja noch der zusätzliche Code per SMS oder APP. Wobei ich mich frage wie sicher diese Apps wirklich sind.*malagant* schrieb:
Hinzu kommt, dass der ONU keine Ahnung vom DOM hat. Der wähnt seine Passwörter in Sicherheit. Allerdings verwenden die ONU's in meinem Umkreis auch kaum Addons.
Yuuri
Fleet Admiral
- Registriert
- Okt. 2010
- Beiträge
- 13.923
2002 bzw. die 70er haben angerufen und wollen ihre "Neuigkeit" zurück.
Der einzige Unterschied ist, dass der Browser die Sachen interpretiert. Aber nicht mehr lang: WASM wird via Bytecode ausgeliefert. Hier wird vom Browser dann zwar immer noch interpretiert, allerdings liegt der "Code" kompiliert vor. Heißt es gibt nicht mal mehr die Möglichkeit reinzuschauen.
Dass man Werbung entfernen, Autofill haben, Seiten dunkel färben, Mausgesten implementieren usw. kann, funktioniert eben nur, wenn man in die Seite schreiben kann. Und ein Schreiben impliziert ein Lesen.
Seit Web Extensions gibts immerhin ein fragwürdiges "Permission-Model". Aber wirklich jeder Browser implementiert das Vorgehen komplett falsch. Spätestens ein Auto Update ist sicherheitstechnisch fragwürdig.
Nichtsdestotrotz: Die News ist älter als die erste AOL CD. Aber schön, dass man bei sowas mittlerweile von "Sicherheitsforschern" spricht. Einzig relevanter Teil der News: Malware kommt immer noch "hochoffiziell" in Stores unter. Frag ich mich grad, warum Google und Co. hier noch keine "KI" erfunden hat. Mit etwas "Crypto" und "Blockchain" sollten sich damit doch Milliarden von extern einsacken lassen. Lassen wir das auf Quantencomputern ausführen, ist der staatliche Auftrag gesichert und man erwartet selbst in 10 Jahren keine Ergebnisse.
Wenn man pedantisch sein will, wird man solche News seit den allerersten Browser Extensions finden.
ILOVEYOU, WannaCry, Sasser, Melissa, Conficker, Stuxnet, ... Das Problem ist viel älter und reicht bis mindestens in die 70er zurück.
Das "eigentliche Problem" liegt aber ganz woanders und hat nichts mit Browsern, Betriebssystemen oder gar Computern zu tun. Oder warum funktioniert ein "Enkeltrick"?
Kopf einschalten! Immer.
Oder wie Linus Neumann bei Bullshit made in Germany sagte (wenn auch in etwas anderem, aber ähnlich gelagertem Kontext): Man gibt auf nicht vertrauter Gerätschaft keine Daten preis.
Ersetze "Browser" durch Dienstleister und es ist das selbe Szenario.
XSS, CORS, Sandboxing und Co. helfen auch nur, wenn man sie richtig implementiert. Aber selbst dann muss man nicht "sicher" sein. "Sicher" gibt es übrigens nicht. Sicherheit ist ein Prozess, ein Vorgang, ein Rennen um "wer ist der erste für eine noch nicht entdeckte Lücke".
Ein prominentes Beispiel: Miner im Browser. Wenn auch kein "Datendiebstahl", aber genauso Malware. Ausgeliefert ohne Zutun von $Seite, $Werbung oder welcher Kontext auch gerade passt.
Und dafür werden "Forscher" bezahlt? Das weiß bereits jeder 0815 Azubi und auch jeder Poweruser. Und jeder DAU, der davon keine Ahnung hat, sollte seine "Medienkompetenz" (bescheuertes Wort) hinterfragen. Genau genommen weiß man sowas seit dem allerersten Betriebssystem. Ein Programm, was man ausführt, kann genauso Zugriff auf Daten vom PC "erlangen". Eine Webseite ist genauso als "Programm" zu werten. Ein "Programm" ist nichts weiter als eine Codeausführung. Im Browser hat man lediglich eine Sandbox als Zwischenlayer zum PC, aber auch diese ist nicht "sicher".https://en.wikipedia.org/wiki/Firefox schrieb:
Der einzige Unterschied ist, dass der Browser die Sachen interpretiert. Aber nicht mehr lang: WASM wird via Bytecode ausgeliefert. Hier wird vom Browser dann zwar immer noch interpretiert, allerdings liegt der "Code" kompiliert vor. Heißt es gibt nicht mal mehr die Möglichkeit reinzuschauen.
Dass man Werbung entfernen, Autofill haben, Seiten dunkel färben, Mausgesten implementieren usw. kann, funktioniert eben nur, wenn man in die Seite schreiben kann. Und ein Schreiben impliziert ein Lesen.
Seit Web Extensions gibts immerhin ein fragwürdiges "Permission-Model". Aber wirklich jeder Browser implementiert das Vorgehen komplett falsch. Spätestens ein Auto Update ist sicherheitstechnisch fragwürdig.
Nichtsdestotrotz: Die News ist älter als die erste AOL CD. Aber schön, dass man bei sowas mittlerweile von "Sicherheitsforschern" spricht. Einzig relevanter Teil der News: Malware kommt immer noch "hochoffiziell" in Stores unter. Frag ich mich grad, warum Google und Co. hier noch keine "KI" erfunden hat. Mit etwas "Crypto" und "Blockchain" sollten sich damit doch Milliarden von extern einsacken lassen. Lassen wir das auf Quantencomputern ausführen, ist der staatliche Auftrag gesichert und man erwartet selbst in 10 Jahren keine Ergebnisse.
Wenn man pedantisch sein will, wird man solche News seit den allerersten Browser Extensions finden.
ILOVEYOU, WannaCry, Sasser, Melissa, Conficker, Stuxnet, ... Das Problem ist viel älter und reicht bis mindestens in die 70er zurück.
Das "eigentliche Problem" liegt aber ganz woanders und hat nichts mit Browsern, Betriebssystemen oder gar Computern zu tun. Oder warum funktioniert ein "Enkeltrick"?
Kopf einschalten! Immer.
Oder wie Linus Neumann bei Bullshit made in Germany sagte (wenn auch in etwas anderem, aber ähnlich gelagertem Kontext): Man gibt auf nicht vertrauter Gerätschaft keine Daten preis.
Stell dir vor, so funktionieren Computer. So funktioniert das gesamte System, die gesamte Menschheit das gesamte Universum.Crifty schrieb:
Ersetze "Browser" durch Dienstleister und es ist das selbe Szenario.
Nein es betrifft alle Browser gleichermaßen. Es betrifft das ganze "Internet", weil so eben HTML, JavaScript und CSS funktionieren, auf welchen jede Webseite aufbaut.naoki schrieb:
Nein. Oder anders: Es betrifft mindestens beide Seiten und auch dich als eigentlichen Akteur.frazzlerunning schrieb:
Das Problem verschiebt sich lediglich. Passkeys sind zu neu und keineswegs irgendwo verbreitet, als dass dafür Exploits vorherrschen. Aber sieh doch mal nach rechts und links: Welche Technik hatte bisher keine Lücken? Geduld ist eine Tugend.tollertyp schrieb:
Nein.tollertyp schrieb:
Das Problem ist viel zu kurz gedacht. Jede 0815 Seite kann prinzipiell mit eingebetteter Werbung Zugang zu deinen Daten erlangen. Deswegen gibt es u.a. auch den Einsatz von Adblockern, damit man eine Angriffsfläche weniger hat. Und diese Angriffsfläche ist keineswegs klein. Einfach mal nach Werbung und Malware suchen. Selbst Google hat bereits Malware ausgeliefert.Kano schrieb:
XSS, CORS, Sandboxing und Co. helfen auch nur, wenn man sie richtig implementiert. Aber selbst dann muss man nicht "sicher" sein. "Sicher" gibt es übrigens nicht. Sicherheit ist ein Prozess, ein Vorgang, ein Rennen um "wer ist der erste für eine noch nicht entdeckte Lücke".
Ein prominentes Beispiel: Miner im Browser. Wenn auch kein "Datendiebstahl", aber genauso Malware. Ausgeliefert ohne Zutun von $Seite, $Werbung oder welcher Kontext auch gerade passt.
Es geht nicht um die gespeicherten Credentials im Browser.naoki schrieb:
Verschlüsselung nutzt gar nichts. Wenn (sinnbildlich) dein Schatten hier der böse Akteur ist, bringt es nichts, wenn du dich im Ganzkörperkondom umher bewegst. Und Verschlüsselung bedingt, dass du den Schlüssel hast. Wenn also der "Schlüssel" dein Browser ist und $irgendwas im Kontext der Seite läuft, sind jegliche Interaktionen sinnlos, denn dieser Akteur hat genauso Zugriff auf deinen "Schlüssel", wie er und du Zugriff auf die Seite hat.Fred_VIE schrieb:
Den Aluhut müssen wir nun wirklich nicht zücken...Fred_VIE schrieb:
Fred_VIE
Lt. Commander
- Registriert
- Sep. 2006
- Beiträge
- 1.358
Diese Bemerkung hättest du dir schon sparen können, da man immer wieder sieht, wie sicher Software wirklich istYuuri schrieb:
Wer im WWW vertrauen schenkt, der isses los.
Die letzen Jahre haben schön gezeigt, dass die heutige angebliche Verschwörungstheorie morgen schon zum Fakt werden kann. Aber für manche war das noch immer nicht offensichtlich genug. Was mich nur noch amüsiert.
Yuuri
Fleet Admiral
- Registriert
- Okt. 2010
- Beiträge
- 13.923
Dann bleib halt auch im Kontext und fabulier nicht irgendwas daher.Fred_VIE schrieb:Diese Bemerkung hättest du dir schon sparen können, da man immer wieder sieht, wie sicher Software wirklich ist
Du unterstellst Google, Apple und Microsoft gerade, dass ihr Betriebssystem einzig als Keylogger fungiert um deine Daten auszuspähen. Nenn mir einen Vorfall der letzten 26 Jahre (Google), 47 Jahre (Apple) und 48 Jahre (Microsoft), in welcher so eine Sache auch nur ansatzweise aufgetreten wäre.
Sorry, das ganze Szenario ist dumm. Wozu einen Keylogger bereitstellen, wenn sie sowieso Zugriff auf die Daten haben? Heutzutage serverseitig sowieso, weil du die Daten selbst aktiv hochlädst, aber in der Vergangenheit hätte dies bereits auch genauso clientseitig passieren können. Wem wurden mal Zugangsdaten eines Kontos "entwendet", weil in einem Word-Dokument Username + Passwort standen?
Also im Grunde ist das ganze Werbung für Passkeys.
Ist das Internet nun für mich unsicherer als vorher? Nein. Wie Yuuri sagt: Jede Software auf dem PC kann extrem manipulieren. Software bedeutete schon immer Vertrauen bzw. auch gesundes Misstrauen.
Ist das Internet nun für mich unsicherer als vorher? Nein. Wie Yuuri sagt: Jede Software auf dem PC kann extrem manipulieren. Software bedeutete schon immer Vertrauen bzw. auch gesundes Misstrauen.
Danke, die Aussage von @naoki fand ich auch extrem irreführend und ich fragte mich, ob ich die Meldung falsch gelesen hatte.Yuuri schrieb:
U
UhrenPeter
Gast
@Yuuri
Im Prinzip ist bei Android die GBoard (Tastatur) App der Keylogger.
Die Eingaben werden zu Google geschickt, damit man tolle Wortvorhersagen, Korrekturen, etc. erhält. Damit man aber Wörter von Passwörtern unterscheiden kann, braucht man beides.
Android selbst ist ebenfalls unsicher.
Man kann bspw. Passwörter in die Zwischenablage kopieren, um diese irgendwo einzufügen.
Das Dumme ist, dass extrem viele Apps ebenfalls Zugriff auf die Zwischenablage und damit das Passwort im Klartext haben.
Für diese zwei Beispiele gibt es zumindest Lösungen:
Tastatur: Eine OpenSource Offline Tastatur wie OpenBoards oder AnySoftKeyboard verwenden.
Zwischenspeicher: Passwortmanager mit eigener Tastatur und Zugriff auf den Passwortmanager oder automatischer Löschung des Zwischenspeichers.
Schnittstellen: Alle Apps in Sandboxes ausführen, welche Berechtigungen und Zugriffe limitieren können, welche die App ansonsten nicht erlauben / anbieten würde. So etwas kenne ich aber weder von Android noch iOS. Das sind meist Features von alternativen ROMs. (z.B. GrapheneOS, CalyxOS?)
Aluhut hin oder her.
Die Vergangenheit hat gezeigt, dass Geheimdiensten alle Mittel recht sind, an unsere Daten zu kommen.
Die haben auch Führungspersönlichkeiten in die größten Tech-Firmen "eingeschleust" oder nachträglich "angeheuert", die entsprechende Befugnisse haben.
Und wenn man keinen direkten Zugriff (über "Agenten") erhält, sorgt man dafür, dass die Frau / der Mann mit einem Agenten eine Beziehung anfängt. Auch wenn es bedeuten sollte, dass man >10 Jahre verheiratet sein muss.
So etwas gehört buchstäblich zu den ältesten Methoden von Geheimdiensten, die schon unzählige Male bewiesen wurden!
Man darf auch nicht vergessen, dass Unternehmen gesetzlich verpflichtet sind Lücken zu integrieren.
Wenn man naiv ist, denkt man, dass es eine Lücke ist.
Die Wahrheit ist aber, dass ständig neue Lücken geschaffen und geschlossen werden.
Es werden bildlich gesprochen ständig neue Hintertüren verbaut, um diese nach einer Zeit zu schließen, um woanders eine Hintertür zu verbauen.
Wer glaubt, dass Geheimdienste nicht auch Browser-Addons selbst entwickeln, um Daten wie Passwörter zumindest für eine kurze Zeit zu sammeln, muss schon eine sehr eingeschränkte Vorstellungskraft haben.
Hier ein aktuelles Beispiel, wie sogar in den 70er Jahren Verschlüsselungen wertlos waren, die man an viele Länder als "sicher" verkauft hatte, weil sogar das Top-Management die wertvollste Komponente an die Geheimdienste "verkauft" hat:
Im Prinzip ist bei Android die GBoard (Tastatur) App der Keylogger.
Die Eingaben werden zu Google geschickt, damit man tolle Wortvorhersagen, Korrekturen, etc. erhält. Damit man aber Wörter von Passwörtern unterscheiden kann, braucht man beides.
Android selbst ist ebenfalls unsicher.
Man kann bspw. Passwörter in die Zwischenablage kopieren, um diese irgendwo einzufügen.
Das Dumme ist, dass extrem viele Apps ebenfalls Zugriff auf die Zwischenablage und damit das Passwort im Klartext haben.
Für diese zwei Beispiele gibt es zumindest Lösungen:
Tastatur: Eine OpenSource Offline Tastatur wie OpenBoards oder AnySoftKeyboard verwenden.
Zwischenspeicher: Passwortmanager mit eigener Tastatur und Zugriff auf den Passwortmanager oder automatischer Löschung des Zwischenspeichers.
Schnittstellen: Alle Apps in Sandboxes ausführen, welche Berechtigungen und Zugriffe limitieren können, welche die App ansonsten nicht erlauben / anbieten würde. So etwas kenne ich aber weder von Android noch iOS. Das sind meist Features von alternativen ROMs. (z.B. GrapheneOS, CalyxOS?)
Aluhut hin oder her.
Die Vergangenheit hat gezeigt, dass Geheimdiensten alle Mittel recht sind, an unsere Daten zu kommen.
Die haben auch Führungspersönlichkeiten in die größten Tech-Firmen "eingeschleust" oder nachträglich "angeheuert", die entsprechende Befugnisse haben.
Und wenn man keinen direkten Zugriff (über "Agenten") erhält, sorgt man dafür, dass die Frau / der Mann mit einem Agenten eine Beziehung anfängt. Auch wenn es bedeuten sollte, dass man >10 Jahre verheiratet sein muss.
So etwas gehört buchstäblich zu den ältesten Methoden von Geheimdiensten, die schon unzählige Male bewiesen wurden!
Man darf auch nicht vergessen, dass Unternehmen gesetzlich verpflichtet sind Lücken zu integrieren.
Wenn man naiv ist, denkt man, dass es eine Lücke ist.
Die Wahrheit ist aber, dass ständig neue Lücken geschaffen und geschlossen werden.
Es werden bildlich gesprochen ständig neue Hintertüren verbaut, um diese nach einer Zeit zu schließen, um woanders eine Hintertür zu verbauen.
Wer glaubt, dass Geheimdienste nicht auch Browser-Addons selbst entwickeln, um Daten wie Passwörter zumindest für eine kurze Zeit zu sammeln, muss schon eine sehr eingeschränkte Vorstellungskraft haben.
Hier ein aktuelles Beispiel, wie sogar in den 70er Jahren Verschlüsselungen wertlos waren, die man an viele Länder als "sicher" verkauft hatte, weil sogar das Top-Management die wertvollste Komponente an die Geheimdienste "verkauft" hat:
Zuletzt bearbeitet von einem Moderator:
Gibt aber auch andere Wege für Passwortmanager, Passwörter einzufügen - zugegeben, die funktionieren nicht überall.UhrenPeter schrieb:
Aber andererseits ist es dann der "freie Wille" des Nutzers, die Zwischenablage zu verwenden. Ist unter Windows ja auch nicht wirklich anders...
netzgestaltung
Captain
- Registriert
- Jan. 2020
- Beiträge
- 3.163
also ich mach das eigentlich immer, egal ob FF oder Chromium - untersuchen und dann im PW feld die eingetippten punkte sichtbar machen indem ich beim input tag den type von password auf text ändere. geht immer überall, ist auch logisch.
klar sollen addons auf den DOM zugreifen können, wie will der adblocker(ublock) sonst werbung daraus entfernen? daher: addons immer gut prüfen und nicht irgendwas auf die schnelle installieren.
klar sollen addons auf den DOM zugreifen können, wie will der adblocker(ublock) sonst werbung daraus entfernen? daher: addons immer gut prüfen und nicht irgendwas auf die schnelle installieren.