ComputerBase Menü
Aktuelles

Kann eine Internetseite erkennen, ob mein Browser über ihre Zugangsdaten verfügt?

halwe

halwe

Lt. Commander
Registriert
Jan. 2007
Beiträge
1.564
Hallo zusammen,
als sicherheitsbewusster Surfer lösche ich regelmäßge meine Cookies. Aber ich nutze gern den Passwortspeicher meines Browsers (FF).

Nun würde mich einmal interessieren, ob eine Website (bzw. deren Betreiber) erkennen können, ob mein Browser für sie Anmeldedaten hinterlegt hat. Oder für andere Seiten?
Theoretisch dürfte das sicher nicht sein, aber praktisch könnte die Website schon allein an der Geschwindigkeit, wie schnell den Benutzernamen eingebe, etwas erkennen. Oder?

Vielleicht kann eine Website sogar direkt die gespeicherten Benutzerkennungen auslesen?

Vielleicht hat sich einer von Euch schon mal mit dem Thema beschäftigt.

Viele Grüße, Halwe
 
Natürlich kann eine Seite keine gespeicherten Kennungen bei dir auslesen - nur was in den jeweiligen Cookies steckt.
 
Ich denke rein theoretisch könnte man tatsächlich die 'Tippgeschwindigkeit' messen und so Rückschlüsse ziehen - du könntest ja aber auch cut'n'paste verwenden, also ist das sehr theoretisch. Die Frage ist, wieso stellt jemand sich eine solche Frage und was hätte die Website davon, eine KI auf dich anzusetzen, um herauszufinden, ob du einen PW-Manager benutzt??
 
Doch eine Webseite kann sowas testen oder auslesen. Sie könnte z.b. zwei hidden Username und Passwort Felder anzeigen. Dir würden diese gar nicht angezeigt, aber dein Passwort Manager erkennt diese und kann automatisch deine Daten eingeben, ohne das du es merkst.
Auf diese Weise, kann die Webseite deine Bewegung auch ohne Login nachverfolgen. So eine Bespitzelung des Nutzers ist dabei natürlich ziemlich unprofessionell.
 
  • Gefällt mir
Reaktionen: ayngush
Ja, das kann man machen. Ist aber keine gute Praxis.
Man kann die Daten dabei nicht direkt aus dem Browser auslesen aber man kann durchaus ein Formular, welches ja automatisch mit den gespeicherten Benutzerdaten vom Browser ausgefüllt wird, auf der Internetseite so speziell platzieren und manipulieren, dass du es als besucher nicht auf Anhieb und ohne Hilfsmittel sehen kannst. Dieses Formular kann dann mit allen eingegebenen Daten mit Hilfe von Javascript ausgelesen und an den (oder gar einen ganz anderen...!) Server gesendet werden.

Auf diese Weise können bei möglichen Cross Site Scripting Angriffen einer Webseite auf die Besucher sogar die Anmeldedaten im Klartext "abgezogen" werden. Von Daher ist es fast schon sinnvoller ein Cookie zu akzeptieren, anstatt die Kennwörter im Browser zu speichern und Formulardaten automatisch ausfüllen zu lassen. Das Cookie kann der Webseitenbetreiber auf seiner Seite bei Bekanntwerden einer XSS-Lücke nämlich einfach ignorieren und ein potentieller Angreifer wäre so nicht in Besitz der Klartext-Anmeldedaten gekommen, Sondern der Cookies halt. Speichert man natürlich beides, kann man auch beides klauen...

Zudem kann man Cookies halbwegs manipulationssicher aufbauen, indem man viele Client-Attribute in das Cookie als gehashten Wert mit einbaut (und natürlich auch bei der Nutzung für die Anmeldung prüft...) und Serverseitig mit einen weiteren Cookie, welches das andere Cookie signiert (HMAC) vor Manipulationen schützen. Dann könnte ein Angreifer mit den geklauten Cookie nichts anfangen, da er ja die Client-Hash-Attribute im ersten Cookie nicht verändern kann, solange er den Private Key vom Server für das HMAC nicht kennt. So eine Schutzfunktion geht mit gespeicherten Formulardaten, die über Seitenkanalangriffe geklaut werden, ebenfalls nicht.... Man könnte zwar den Anmeldevorgang auf diese Weise absichern, die WAF der Sophos UTM bietet so etwas z.B. auch mit an. Aber das klauen von gespeicherten Anmeldedaten über XSS wird dadurch halt nicht verhindert. Klartext ist Klartext und im Cookie stehen in der Regel ja kein Benutzername und Kennwort im Klartext drinnen, sondern automatisch generierte Keys usw. wenn es gut gemacht ist halt auch mit einigen Krypto-Voodoo :D
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: gaym0r
Pauschale Aussagen wie die von @Loopman sind natürlich quatsch, @ayngush bringt es auf den Punkt.
@halwe Gibt es einen konkreten Grund für deine Frage? Falls du wissen willst, ob man das unterbinden kann: Javascript grundsätzlich erstmal deaktivieren (durch entsprechende Browser-Addons).
 
Danke für die Rückmeldungen, vor allem an Zerstoerer und ayngush, das war sehr aufschlussreich.

Ich meine konkret den z. B. in FF eingebauten Passwortmanager. Gibt der tatsächlich meinen Benutzernamen ein, ohne das ich bewusst das Feld ansteuere? Das könnte dann ja die Website über Browserevents abfragen.

Und wenn ja, besteht dann nicht die Gefahr des Spoofings, d. h. eine kriminelle Website täuscht meinem Browser alle möglichen Websites (Facebook, twitter etc.) vor und ermittelt so meine Benutzernamen, vielleicht sogar die Passwörter?

Aber die Frage geht weiter. Browser speichern Anmeldedaten häufig im Internet, wegen der deviceübergreifenden Nutzung. Gab es da vielleicht schon erkannte Sicherheitsvorhälle und leaks?

Warum ich solche Fragen stelle? Nun ja, wir sind hier im Unterforum "Sicherheit", wir leben in der Post-Snowden-Ära, ... muss ich noch mehr sagen?

Das mit dem "Cookies sind sicherer als Browser-Passwörter" gibt mir zu denken...
 
als sicherheitsbewusster Surfer lösche ich regelmäßge meine Cookies. Aber ich nutze gern den Passwortspeicher meines Browsers (FF).
Zum Vergrößern anklicken....
Ist das nicht ein Widerspruch? Ich bin ein Sicherheitsbewusster Anwender. Ich sichere keine Passworter...

greetz
hroessler
 
  • Gefällt mir
Reaktionen: FranzvonAssisi und BeBur
halwe schrieb:
Ich meine konkret den z. B. in FF eingebauten Passwortmanager. Gibt der tatsächlich meinen Benutzernamen ein, ohne das ich bewusst das Feld ansteuere? Das könnte dann ja die Website über Browserevents abfragen.
Zum Vergrößern anklicken....
Fragt sich, warum die Website das machen sollte. Für den Spezialfall XSS siehe oben.

halwe schrieb:
Und wenn ja, besteht dann nicht die Gefahr des Spoofings, d. h. eine kriminelle Website täuscht meinem Browser alle möglichen Websites (Facebook, twitter etc.) vor und ermittelt so meine Benutzernamen, vielleicht sogar die Passwörter?
Zum Vergrößern anklicken....
Bezogen auf den Kontext in dem du fragst: Nein. Der Browser wird Daten nur eingeben, wenn die Domain korrekt ist.
Es kann jedoch passieren, dass die Domain auf eine falsche IP zeigt (DNS Spoofing). In dem Fall würde der Browser aber von sich aus die Seite gar nicht erst ansurfen sondern eine Warnung ausgeben, da der Angreifer kein passendes Zertifikat für die Domain vorweisen kann.
 
halwe schrieb:
Gibt der tatsächlich meinen Benutzernamen ein, ohne das ich bewusst das Feld ansteuere?
Zum Vergrößern anklicken....
Ja. Er gibt es nicht ein aber die Felder werden mit den Values vom Browser aus vorbelegt. Das lässt sich auch nicht abstellen, außer man speichert halt keine Zugangs- und Formulardaten. Es gibt auch Angriffe auf die Historie von schon mal ausgefüllten Formulardaten ohne, dass explizit Zugangsdaten gespeichert wurden, die sind aber komplexer.

Es gibt übrigens noch weitere Angriffsvektoren darauf. DNS Poisioning zum Beispiel. Dabei wird dann computerbase.de zum Beispiel von einem infizierten DNS-Server oder DNS-Cache auf eine bösartige Kopie der Seite im Netz umgeleitet, ohne das einen das sofort auffällt. Da für den Browser aber die URL zu stimmen scheint, sendet er auch brav alle Cookies mit und füllt auch ggf. vorhandene Formualrdaten automatisch aus.

Oder über einen feindlichen Proxy-Server, der einen untergejubelt wird und der einfach eine ganze andere Seite für die angefragte URL ausliefert.

All dies bedingt natürlich, dass ein Angreifer Lücken auf deinem System oder Netzwerk (DNS Posioning, Proxy) oder der besuchten Internetseite (XSS XSRF) ausnutzen kann. Die Router zu Hause sind dabei auch immer wieder ein beliebtes Angriffsziel bei so etwas. Die werden ja kaum dauerhaft überwacht, Sicherheitspatches sind bei einigen Modellen eher so lala und so Dinge wie Virenscanner oder Anti Tamper Schutzmaßnahmen für die darauf befindlichen Software gibt in der Regel nicht.

Am Ende ist Sicherheit immer eine Abwägung zwischen Komfort und Schutz vor Angriffsvektoren.

Edit: Das Synchronisieren von gespeicherten Zugangsdaten über die von den Browserherstellern angebotenen Dienste ist eigentlich recht sicher, da diese Daten verschlüsselt gespeichert werden. Allerdings ist das nur ein einfacher Schutz aus E-Mail-Adresse und Kennwort und ob da Anti-Brute-Force Maßnahmen implementiert sind, weiß ich nicht.
 
Zuletzt bearbeitet: (Typos oO)
Vielen Dank noch mal. Das war sehr lehrreich und mehr, als ich nach meiner letzten Anfrage im Unterforum "Online" erwartet hatte.
Ich speichere ja nur relativ unkritische Benutzerdaten im Browser, nutze ansonsten ein selbstgebautes Passwort-Eingabetool, das kann man schlecht angreifen, weil es das eben nur einmal gibt und jede Passworteingabe manuell ausgelöst wird.
Aber auch unkritische Login-Daten muss ich vor dem Hintergrund der möglichen Angriffsvektoren hinterfragen, denn sie könnten im schlimmsten Fall zu weiteren Informationen führen.

Was mich nur wundert, dass vor dem Hintergrund dieser Unsicherheit nicht stärker vor der Verwendung der in Browsern eingebauten Passwortspeicher gewarnt wird.
 
halwe schrieb:
nutze ansonsten ein selbstgebautes Passwort-Eingabetool
Zum Vergrößern anklicken....
Wenn du auch nur ein kleines bisschen Wert auf Sicherheit legst, dann ersetze das durch eines der bekannten Tools wie z.B. KeePass.
 
  • Gefällt mir
Reaktionen: FranzvonAssisi
KeePass scheint hier sehr gern empfohlen zu werden :rolleyes:

Selbstgebaut heißt nicht unverschlüsselt.
Ansonsten: Ich verwende auch einen (exotischen) kommerziellen Passwort-Safe, der aber an meinem Surferlebnis nicht beteiligt wird. Kommerzielle PW-Safer halte ich im Zweifelsfall aber für leichter angreifbar, weil sich dort der Aufwand für den Hacker eher lohnt.
 
Menschen überschätzen sehr gerne den Aufwand und die Kenntnisse, die erforderlich sind, selbstgebautes korrekt abzusichern. 'Nicht unverschlüsselt' heißt nicht 'sicher'.

Mir kann's ja egal sein, wenn du unbedingt was selbstgebautes einsetzen willst. Das ganze ist halt ne gute Größenordnung komplexer als das was du hier wissen willst.
 
  • Gefällt mir
Reaktionen: FranzvonAssisi
Keepass ist nicht kommerziell...

Auf der einen Seite wird dort natürlich nach Lücken gesucht, aber (auf der anderen Seite) sowohl von "guten" als auch von "schlechten" (white- / black-hat) Hackern. Da KeePass Open-Source ist, kann sich jeder Nutzer der Sicherheit des Programms überzeugen, in dem er sich den Code anschaut. Selber kompilieren kannst dus natürlich auch noch, wenn du gerade nen Aluhut gebastelt hast :D

Für das Finden von kritischen Lücken kriegst du übrigens Geld von der EU-Kommission, immerhin 15 000 €

Lg
 
halwe schrieb:
Was mich nur wundert, dass vor dem Hintergrund dieser Unsicherheit nicht stärker vor der Verwendung der in Browsern eingebauten Passwortspeicher gewarnt wird.
Zum Vergrößern anklicken....
Weil diese nicht per se unsicher sind. Versteh das nicht falsch. Nur weil es Angriffsszenarien darauf gibt, bedeutet das nicht, dass diese mit einfachen Methoden auszunutzen sind. Und die Angriffsvektoren, die notwendig sind, um die Passwörter aus den gespeicherten Browserdatenbanken abzuziehen, sind dann auch dafür geeignet alle Formen von Anmeldedaten, ob gespeichert oder zur Laufzeit manuell aus dem Gedächnis eingetippt, inklusive Passwortmanager wie Keepass oder Eigenbauten usw. abzugreifen.

Deswegen ist das einfach eine Abwägung gesunden Menschenverstandes in Bezug auf Komfort und Sicherheit und der Komfort darf da ruhig gewinnen. Die Sicherheit sollte man nicht dadurch erhöhen zu versuchen, indem man seine Daten versucht zu verstecken (obscurity), das taugt eh meist nicht viel, sondern, indem man wirklich die Sicherheit erhöht. Ein probates Mittel ist es zum Beispiel nicht einfach so jeden x-beliebigen Code in Webseiten ausführen zu lassen, vor allem Code von Drittanbietern nicht (kann man mittels uMatrix / Noscript realisieren) und wo es nur möglich ist eine gute Zwei Faktor Authentifizierung (TOTP zum Beispiel) für seine Accounts zu verwenden, denn dann nützen gestohlene Anmeldedaten nichts, wenn immer ein zusätzlicher Anmeldefaktor über ein Einmalkennwort / eine kryptografisch signierte Nonce ins Spiel kommt.
Auch der neue Standard "WebAuthn" kann zur Erhöhung der Sicherheit beitragen, solange der Hardwarekey sicher behandelt wird.
 
Zuletzt bearbeitet:
ayngush schrieb:
inklusive Passwortmanager wie Keepass
Zum Vergrößern anklicken....

Nope, die Browser-Integrationen von KeePass fragen nach, ob das Passwort geladen werden soll. Erst wenn du dort "Ja" auswählst, kannst du die Daten als AutoFill auswählen - insofern fällt einer der günstigsten Angriffsvektoren weg...
 
XSS phisht das Kennwort, nachdem es dann von Keepass eingetragen und kurz bevor es übermittelt wird immer noch mit ab.
DNS Posioning funktioniert damit ebenfalls, weil das Kennwort dann ja auf einer bösartigen Kopie eingetragen wird (Phishing)
Ein bösartiger Proxy funktioniert ebenfalls (Phishing).

Dagegen hilft nur noch gesunder Menschenverstand. Das Zertifikat manuell zuvor überprüfen usw.
 
XSS ist gar nicht mehr so einfach wie es mal war. 😇
Oft wird das schon vom Browser selbst erkannt (und verhindert).
Und viele Webserver maskieren "böse" Zeichen inzwischen auch schon automatisiert.

Um dem TE noch ein bisschen Hilfe anzubieten:
Die PW-Manager sind tatsächlich häufig Mittel der Wahl, um seine Online-Accounts mit starken PW abzusichern.
Die PW-Datenbanken kann man auch über mehrere Geräte synchronisieren, da die gespeicherten PWs selbst auch nochmal verschlüsselt sind.

Und auch hier ein Link zum Ein- und Nachlesen.

Noch einige Argumente, die gegen selbstprogrammierte PW-Manager sprechen:
  • "selbstgemachte" Kryptographie ist oft unsicher
  • selbstimplementierte Krypto-Bibliotheken sind oft fehlerhaft implementiert
Der einzige Schutz, den man hat ist dann "nur" noch, dass sich niemand die Mühe macht, die unsichere Kryptographie oder die unsichere Implementierung anzugreifen. Zumindest solange, bis jemand das als (vermeintlich) lohnendes Ziel identifiziert.
Das Risiko für derartige "Schwachstellen" kann man mit Open Source- und auch mit kommerzieller Software zumindest reduzieren.

Zu den PW-Managern in (bekannten!) Browsern gilt das sinngemäß auch. Es sitzen viele Menschen täglich dran, die Fehler finden und beheben, so dass die Wahrscheinlichkeit grober Schnitzer recht gering ist. Selbst wenn doch mal eine Schwachstelle gefunden wird, so wird sie dann (meistens) recht schnell behoben.
(Wie überall gilt: keine Regel ohne Ausnahme(n))
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: FranzvonAssisi
BeBur schrieb:
In dem Fall würde der Browser aber von sich aus die Seite gar nicht erst ansurfen sondern eine Warnung ausgeben, da der Angreifer kein passendes Zertifikat für die Domain vorweisen kann.
Zum Vergrößern anklicken....

Und wenn die gespoofte seite kein https macht? Dann gibt's kein Zertifikat und keine Warnung... ;)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

habichtfreak
Leserartikel Wireless LAN – verstehen, planen und einrichten
Antworten
8
Aufrufe
62.387
Madman1209
Madman1209
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz