ComputerBase Menü
Aktuelles

News Sicherheitslücke: Browser speichern Passwörter im Klartext im Arbeitsspeicher

DJMadMax schrieb:
für den Einsatz eines Keyloggers kann ein Unternehmen nichts, jedoch kann ich dafür sorgen, dass Passwörter nicht im Klartext in Session Cookies hinterlegt werden.
Zum Vergrößern anklicken....
Im Session Cookie steht nicht das Passwort, sondern ein "Token" das quasi aussagt "Alles ok, password und ggf. 2FA wurden geprüft, kannst ihn reinlassen".

Und das geht sogar programmübergreifend. D.h. wenn man ein so erbeutetes Token von einem anderen Rechner aus verwendet, hat man üblicherweise Zugriff.
Ergänzung ()

Oteph schrieb:
Unter windows braucht dafür normalerweise dafür Adminrechte:
Zum Vergrößern anklicken....
Sicher?
Mal abgesehen davon, das der Default User den Windows 10/11 Home bei der Installation einrichtet, sowieso lokale Admin Rechte hat.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: DJMadMax
@flaphoschi und @Oteph: Sofern die Prozesse im selben Kontext laufen benötigen sie keine erhöhten Rechte. SeDebugPrivilege braucht es bspw. nur wenn man eben auf einen Prozess der in einem anderen Kontext läuft zugreifen möchte.
 
  • Gefällt mir
Reaktionen: TomH22
Hannibal Smith schrieb:
@Falc410 bisher gibt es mWn. keinen solchen Exploit für KeePass, Bitwarden und Konsorten aber gute Frage, würde mich auch interessieren
Zum Vergrößern anklicken....
Du hast den Artikel nicht gelsen oder nicht verstanden. Wenn ein Angreifer dein System kompromittiert hat ist es schon egal. Er kann dir ab dem Moment statt Process Hacker einfach einen Keylogger unterschieben - er muss ja die Daten sowieso von deinem System bekommen, hat also auch Fernzugriff!

Ich bin echt entsetzt darüber dass hier 7 Seiten lang nur die wenigsten überhaupt den Artikel bis zum Ende gelesen und verstanden haben.
Die Antwort von Google ist absolut nachvollziehbar, zitiert auch einen sehr guten Artikel von Microsoft. Da wird sogar in Laiensprache erklärt warum Securityansätze dieser Art nur Unsinn sind.


Ganz einfach ausgedrückt: Jemand ist in dein Haus eingebrochen, hat deine Schlüssel, ist unbemerkt, die Alarmanlage sagt auch okay, die Bewohner des Hauses nehmen keine Notiz vom Einbrecher, er bewegt sich autoritativ im Haus und hat die Rechte entsprechende Anweisungen und Befehle zu geben. Er durchsucht das Haus mit diesen Mitteln und nimmt sich mit was er will weil es eh niemanden interessiert.
Jede Versicherung wird hier sagen: das war kein Einbrecher, das war mutwillig.

Und genau da liegt das Problem. Es wäre egal ob man einen Passwortmanager benutzt, es manuell per Tastatur eingibt oder aus der Browser Session extrahiert - das System ist nicht mehr das des Benutzers:
https://web.archive.org/web/20160311224620/https://technet.microsoft.com/en-us/library/hh278941.aspx
 
  • Gefällt mir
Reaktionen: cruse, MountWalker und TomH22
also wenn jemand schon so weit ist, dass er auf dem PC den RAM auslesen kann
dann sind die probleme etwas größer als ein paar passwörter (mit denen man ohne 2 fakten auth... also handy nicht viel anfangen kann)
 
Spike S. schrieb:
Andererseits kann man auch fragen, warum das nicht einfach verschlüsselt im Speicher liegt und erst im letzten Schritt vor dem Eingabefeld oder Weitergabe im HTTP Post entschlüsselt wird? Der Browser kann das doch selbst nochmal verschlüsseln, nachdem das durch den Nutzer schon mal entschlüsselt wurde.
Zum Vergrößern anklicken....
Es kann ja auch so gut wie jeder Browser DRM-geschütze Videos auf Streamingplattformen wiedergeben:
Passiert da nicht sogar genau das? Der Stream wird da doch verschlüsselt übertragen und verschlüsselt in den Speicher geladen und dann nur vom Browser selbst zur unmittelbaren Wiedergabe entschlüsselt, oder nicht?
 
Super! Es installiere sich der NCSA Mosaic Browser! Da gehen die Seiten gar nicht mehr aus.
 
Beitrag schrieb:
Es kann ja auch so gut wie jeder Browser DRM-geschütze Videos auf Streamingplattformen wiedergeben:
Passiert da nicht sogar genau das? Der Stream wird da doch verschlüsselt übertragen und verschlüsselt in den Speicher geladen und dann nur vom Browser selbst zur unmittelbaren Wiedergabe entschlüsselt, oder nicht?
Zum Vergrößern anklicken....
Du fragst mich Sachen 😅
Ich kenne mich da nicht im Detail aus, nur grobes Hörensagen. Der Browser kriegt ein Zertifikat vom der DRM Stelle, damit das lokal aufgrdrößelt werden kann. Aber ob das schon bei der eingehenden Verbindung, beim Zwischenspeichern oder erst unmittelbar vor der Ausgabe geschieht weiß ich nicht.

Und mit den Einträgen von den anderen ist mir auch klar geworden, das mein gedanklicher Ansatz auch nicht viel bringt. Steht es in einem Eingabefeld, ist es auch irgendwo im Arbeitsspeicher zu finden. Egal wie gut es bis zum Eingabefeld geschützt war...
 
Mir fällt dazu ein noch relativ neues Video von Linus Neumann ein, welches erklärt warum Google vielleicht diese Art von Statement abgegeben hat.

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.
 
Spike S. schrieb:
Und mit den Einträgen von den anderen ist mir auch klar geworden, das mein gedanklicher Ansatz auch nicht viel bringt. Steht es in einem Eingabefeld, ist es auch irgendwo im Arbeitsspeicher zu finden. Egal wie gut es bis zum Eingabefeld geschützt war...
Zum Vergrößern anklicken....
Ja, aber da muss es ja eigentlich nicht die ganze Zeit bleiben. Direkt nach dem Druck auf Enter und dem Absenden der Informationen an den Server kann es ja eigentlich schon wieder gelöscht werden.
Nur bei den Session-Cookies geht das sicherlich nicht, bei Passwörtern aber schon.
 
Was ist das bitte für ein Click bait oder generell was sind das für Amateure da bei diesem Team? Wo ist das ne Sicherheitslücke? Ram ist halt nun mal offen und zugänglich das war schon immer so. Es ist eher Aufgabe des OS sowas nicht zugänglich zu machen.
 
Was ist mit Smartphones?

Soweit ich weiß, ist auch der Arbeitsspeicher Inhalt bzw. die Zwischenablage im Smartphone bis heute ungeschützt und es gab bereits mehrere Fälle, in denen Apps auf genau diesen Speicher zugegriffen und den Inhalt "Nachhause" verschickt haben.

Hier eine alte News darüber bei iOS: https://www.macwelt.de/news/Facebook-Sicherheit-iOS-Zwischenablage-9994526.html
Oder hier allgemein: https://www.zdnet.de/88288992/fraunhofer-viele-android-passwort-manager-unsicher/
Oder hier: https://www.tutonaut.de/warnung-pro...itsluecke-bei-passwortmanagern-unter-android/
 
wow dafür braucht es Sicherheitsforscher ich hab ähnliches getestet. Mit dem resultat das man bei jedem Passwortmanager die Klardaten aus dem Ram lesen kann. Außnahme gibt es nur einen "Password Safe".

Hab mich trotzdem für Bitwarden entschieden aus dem einfachen Grund selfhosting und BrowserIntegration mit FIDO auth. Pwsafe ist meine Nr. 2 für super wichtige dinge wie rootzugänge Mail passwörter usw.
 
Zuletzt bearbeitet:
wer weiß, vielleicht steckt ja auch microsoft hinter der ganzen geschichte, um uns nur (wieder) zu gängeln doch lieber windows 11 zu installieren und tpm zu nutzen (verrückte idee ende) :lol:
 
pl3Xy schrieb:
wer weiß, vielleicht steckt ja auch microsoft hinter der ganzen geschichte, um uns nur (wieder) zu gängeln doch lieber windows 11 zu installieren und tpm zu nutzen (verrückte idee ende) :lol:
Zum Vergrößern anklicken....
Ne wenn man will kann man die Daten auch als hash im Ram ablegen und dazu eine Methode entwickeln wenn sie kopiert oder angezeigt werden sie wieder klar lesbar zu machen. Wenn der Vorgang abgeschlossen ist wird der pointer wieder geleert und durch einen hash ersetzt .Komplett abschotten geht nicht außer auf Systemadmin ebene.
 
Animal Mother schrieb:
Ne wenn man will kann man die Daten auch als hash im Ram ablegen und dazu eine Methode entwickeln wenn sie kopiert oder angezeigt werden sie wieder klar lesbar zu machen. [...]
Zum Vergrößern anklicken....
(Fach)Wörter haben Bedeutung. Unmittelbare Umkehrbarkeit von Hasing ist per Definition nicht gegeben, bei Verschlüsselung jedoch schon. Angreifer die Zugriff auf den Speicher zugriff haben, hätten jedoch sowohl auf den Algorithmus als auch den Key der die Passwörter verschlüsselt Zugriff. Insofern ist der Vorschlag nur Hokuspokus.
 
  • Gefällt mir
Reaktionen: mental.dIseASe, Web-Schecki, TomH22 und eine weitere Person
Leeren nicht moderne Passwortmanager die Zwischenablage nach xx Sekunden automatisch?

1655143481003.png
 
Zuletzt bearbeitet von einem Moderator:
Piktogramm schrieb:
(Fach)Wörter haben Bedeutung. Unmittelbare Umkehrbarkeit von Hasing ist per Definition nicht gegeben, bei Verschlüsselung jedoch schon. Angreifer die Zugriff auf den Speicher zugriff haben, hätten jedoch sowohl auf den Algorithmus als auch den Key der die Passwörter verschlüsselt Zugriff. Insofern ist der Vorschlag nur Hokuspokus.
Zum Vergrößern anklicken....
Ebbend es ist doch möglich durch einen Salt der bei Application start generiert wird und alle Passwörter die dann aus einer Datenbank geladen werden werden dann zu diesem Salt in den Ram gespeichert und nur bei bedarf wieder entschlüsselt. Natürlich muss die Datenbank nach dem Read wieder komplett entladen werden. Der Abdruck des Datenobjects ist somit immer verschlüsselt. Außer bei leseoperationen. Totale Sicherheit ist das nicht aber besser wie nichts wie bei 99% aller Password Managern. Jede Wall zählt !
 
Die Google Produkte müssen auch nur gut genug sein. Wobei das ist zu viel des schlechten.
 
nutzername schrieb:
Und genau da liegt das Problem. Es wäre egal ob man einen Passwortmanager benutzt, es manuell per Tastatur eingibt oder aus der Browser Session extrahiert - das System ist nicht mehr das des Benutzers:
https://web.archive.org/web/20160311224620/https://technet.microsoft.com/en-us/library/hh278941.aspx
Zum Vergrößern anklicken....

Seh ich nicht so. Praktisch kann doch dann jede beliebige Anwendung jederzeit ohne erweiterte Rechte mitlesen, welche Passwörter ich im Browser eingebe. Das ist ein riesiges Problem.

Bei mobilen Betriebssystemen wie z.B. iOS ist es hingegen so, dass Apps in einer Art Sandbox laufen und nur über festgelegte APIs eingeschränkten Zugriff auf weitere Bereiche bekommen.
Wenn ich bei iOS in Safari ein Passwort eintippe, dann sollte/kann nach meinem Verständnis keine andere App mitlesen (außer natürlich es gibt eine unentdeckte Sicherheitslücke). Bitte korrigiert mich wenn falsch, aber das ist meines Wissens der grundlegende Ansatz.

Wenn das bei Windows anders ist, oder nicht als Problem angesehen wird, dann ist das ein Failure by Design.
Aber ich ahne schon, dass Windows genau so funktioniert. Es fängt ja alleine schon damit an, dass anscheinend jede Anwendung Zugriff auf alle Dateien auf meinem Laufwerk hat. Sprich sämtliche private Dokumente lesen und ins Internet versenden könnte.

Also jetzt mal ohne Witz, da wird ein AUFRISS sondergleichen wegen Spectre und co gemacht, aber dass man mal Hinterfragt, welche Berechtigungen beliebige Anwendungen auf dem System bekommen, auf die Idee kommt keiner. Lächerlich, einfach nur lächerlich. Kann den ganzen Mist echt mehr ernst nehmen...
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

coffee4free
News Auch auf Facebook & Gmail: Chrome-Erweiterungen können Passwörter im Klartext auslesen
2 3 4
Antworten
71
Aufrufe
7.323
tollertyp
T
Brati23
Im Browser gespeicherte Passwörter. Eure Meinung.
Antworten
10
Aufrufe
1.002
Oli_P
Oli_P
EmmaL
Passwörter im Browser speichern - wie (un)sicher?
Antworten
18
Aufrufe
1.871
Blende Up
Blende Up
B
Passwörter im Browser speichern gefährlich?
Antworten
7
Aufrufe
2.176
Biedronka
B
N
Bildschirm wird kurz schwarz bei Videos im Browser
Antworten
13
Aufrufe
1.363
mwh.re
M
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz