-
IT-SICHERHEIT Autocomplete macht Browser unsicher
22.07.2010 08:53Viele Nutzer kennen diese hilfreiche Funktion. Gibt man die ersten Zeichen des Namens oder der Anschrift in ein Formularfeld ein, vervollständigt der Browser automatisch den fehlenden Teil. Mit der Autocomplete-Funktion spart man sich als Nutzer das lästige Eintippen wiederkehrender Daten.
Sicherheitsexperten betrachten die Funktion allerdings kritisch. Jeremiah Grossman von White Hat Security weist jetzt daraufhin, dass sich die Daten der Autocomplete-Funktion gegen den Nutzer verwenden lassen.
Mittels JavaScript lassen sich die Daten auslesen. Dazu geht das Skript nach dem Trail-&-Error-Prinzip vor. Es werden Zeichen solange in den einzelnen Formularfeldern durchprobiert, bis der Browser die Eingabe automatisch vervollständigt. Die Eingabe wird anschließend ausgelesen und gespeichert.
Auf diese Weise können Hacker Logins oder Passwörter ausspähen. Wer sich davor schützen will, sollte die Autocomplete-Funktion grundsätzlich deaktivieren und die Ausführung von Skripten unterbinden. Von der Sicherheitslücke sind nicht nur einzelne Browser betroffen. Fast jeder gängige Browser lässt sich auf entsprechende Art und Weise manipulieren. (dcrs/fm 22.07.2010 08:53)