Schwachstelle in Safari: Automatisch ausfüllen

.holger · 21.07.10

Die Funktion "Automatisch ausfüllen" kann einem Safari-Nutzer das Eingeben von Daten in Webformularen deutlich erleichtern. So werden Daten, die in der Visitenkarte hinterlegt sind oder zuvor in ähnlichen Formularen eingegeben wurden sicher erkannt und eingesetzt. Heise security berichtet nun von einer Schwachstelle in diesem Programmteil von Safari. Dem Bericht nach ist es möglich die Daten mittels JavaScript automatisiert auszulesen. Vor allem bei unsichtbaren Formularfeldern ist dies bedenklich, da der Nutzer keinerlei Rückmeldung bekommt, dass Name, Adresse oder gar Kreditkarteninformationen so ausgelesen werden. Jeremiah Grossman von White Hat Security hat diese Sicherheitslücke am 17. Juni an Apple übermittelt, bisher jedoch nur eine automatische Eingangsbestätigung bekommen. Nutzer von Safari 4 und 5 sollten bis Apple einen Patch veröffentlicht die drei Checkboxen, die im Screenshot zu sehen sind, deaktivieren. Nächste Woche finden in Las Vegas die jährliche Black Hat Sicherheitskonferenz statt, auf der Grossman in einem Vortrag diese und weitere Sicherheitslücken anderer Browser demonstriert.
[PRBREAK][/PRBREAK]

MaxTrax · 21.07.10

Der gesunde Menschenverstand sagt mir, das das nicht gut gehen kann.
Nutzen hin oder her, ich würde diese Funktion niemals aktivieren!

Basti-- · 21.07.10

ich hab mir noch nie gedanken drüber gemacht und nutze es sehr oft weils unumständlicher is...

Corrado244 · 21.07.10

Wer macht denn so was? Ausfüllen kann ich das noch selber. Ich hab es deaktiviert.

stk · 21.07.10

Nach dem aktuellen Stand der Diskussion in Sachen Datenerhebung durch Apple, Antennagate etc. auf der rosaroten Fanboyseite ist das auch das wahrscheinlich wieder nur haltloses Gelaaber der neidischen Journalie o_O

*Vorsicht! kann Spuren von Ironie enthalten*

Gaffalover · 21.07.10

Na, das ist ja nicht so toll.
Habs gleich mal deaktiviert. Mal sehen, ob das noch mal angestellt wird.

iDoSe · 21.07.10

Ich nutze diese Funktion bei einigen Seite für den Login, sehe darin jedoch eigentlich kein Problem.
Ich selber bestätige doch auf welcher Seite er was automatisch einfügen darf, wie soll bitte schön auf einer x beliebigen Seite mein Apfeltalk Login in ein unsichtbares Formularfeld gelangen o_O

Viel Wirbel um Nix, wusstet ihr das die bösen Mailprogramme Sicherheitslücken haben und euer Konto leer geräumen werden kann wenn ihr eurer Bank die Tanliste und den Login zuschickt ?

AnMarb · 21.07.10

Ich nutze dieses Feature auf nahezu jeder Seite. Was allzu leicht bei dieser Schwachstellen-Übertreibung übersehen wird : Man muss erstmal von bösartiger Web -oder Software getroffen werden.

.holger · 21.07.10

iDoSe schrieb:
[…]wie soll bitte schön auf einer x beliebigen Seite mein Apfeltalk Login in ein unsichtbares Formularfeld gelangen

Mittels JavaScript, dabei wird ein Textfeld (egal ob unsichtbar oder nicht) einfach mit Buchstaben gefüllt, bzw. es wird jeder Buchstabe ausprobiert, wenn das Script dann erkennt, dass Safari automatisch ausfüllen möchte, weil wie durch ein Wunder mehr als ein Buchstabe in dem nicht sichtbaren Feld ist, schickt das JavaScript ein ENTER Kommando und hat alle Felder automatisch ausgefüllt…

iDoSe · 21.07.10

Okay das mag sein, da kenne ich mich zu wenig mit der Materie aus.
Ich würde jedoch behaupten das all diese gespeicherten Sachen (Passworter, sonstige Infos) an bestimmte Seitenspezifische Sachen gebunden sind. Da denke ich jetzt zb. an den Exakten Formular Feldnamen, Domainnamen und was es da nicht noch alles gibt.

Ich werde es jedenfalls aktiviert lassen, sonst muss ich ja andauernd irgendwelche belanglosen Passwörter eingeben die eh keinem Menschen was bringen würden.

j@n · 21.07.10

Ich verweise in diesem Zusammenhang ein weiteres mal (und noch dazu gerne) auf wundervolle Software wie Textexpander. Ein benutzerdefiniertes Kürzel und zack, steht der gewünschte Volltext drin. Allerdings ohne Angriffsmöglichkeiten von außen. Oder gibt es welche?

Alternativ bietet sich auch noch die AutoFill-Funktion von 1Password an - das hat ja auch jeder Mac-Nutzer, der was auf sich hält.

No need for JavaScript, zumindest nicht diesbezüglich.

Pascolo · 22.07.10

MaxTrax schrieb:
Der gesunde Menschenverstand sagt mir, das das nicht gut gehen kann. Nutzen hin oder her, ich würde diese Funktion niemals aktivieren!

Ganz meine Meinung. Diese Aussage kann ich nur unterstreichen. Das bisschen Tipparbeit nehme ich gerne in Kauf.

mdi · 22.07.10

iDoSe schrieb:
Ich würde jedoch behaupten das all diese gespeicherten Sachen (Passworter, sonstige Infos) an bestimmte Seitenspezifische Sachen gebunden sind.

na, umso besser. so muss der "hacker" nicht lange suchen, zu welcher seite die gesammelten daten denn nun gehören könnten. wäre doch auch lästig, oder nicht?

mal unabhängig von dieser spezifischen "lücke" sollte man die sache weder zu naiv angehen, noch sollte man logische überlegungen zu grunde legen, um eine individuelle gefahr auszuschliessen. klingt verrückt, ist aber wohl so, denn es geht doch allein um potentielle angriffsflächen und potentiell anzurichtenden schaden. kein böser mensch dieser welt setzt sich an einen wurm, der gezielt nach iDoSe, diesem user bei apfeltalk.de sucht. iDoSe sitzt aber potentiell in der sch....., weil sich dieser wurm nicht mal für sein browsermodell oder sonstwas interessiert, sondern einfach nur für texte, die automatisch in formularfelder eingetragen werden. und weil es ihm spass macht, einfach nur so, nutzt der "hacker" diese daten und postet als iDoSe irgendwelches zeugs, das .holger oder, noch schlimmer, dem staatsanwalt nun überhaupt nicht gefällt, ins zugehörige forum. und irgendwo auf der welt steht morgens einer auf und lacht sich einen, weil er weiss, dass gerade in diesem moment irgendwo auf der welt irgendwem irgendwas passiert. einfach nur so. iDoSe interessiert ihn nicht, und er will auch keine pins und tans, um Amazon leer zu kaufen. er hat einfach nur einen sehr eigenen humor und möchte mit einem lächeln aufwachen.

kann übertrieben, unrealistisch und albern bis paranoid sein, ist aber nunmal denkbar. und nur darum geht es bei sicherheitslücken aller art und ihrer evtl. verkettung in einem ungemein komplexen system. »ich speichere doch nur ein paar forenzugänge« ist vor diesem hintergrund ganz schlicht und ergreifend zu kurz gedacht, so übel das auch ist.

Paganethos · 22.07.10

stk schrieb:
Nach dem aktuellen Stand der Diskussion in Sachen Datenerhebung durch Apple, Antennagate etc. auf der rosaroten Fanboyseite ist das auch das wahrscheinlich wieder nur haltloses Gelaaber der neidischen Journalie

Jede Software hat Fehler und Lücken. Apple ist davon nicht ausgenommen, das weiss man.

Das einzige, was man Apple ankreiden kann, ist, dass solche Funktionen per Default aktiviert sind. Das System im Auslieferungszustand sollte so sicher wie möglich sein.

speedlimiter · 22.07.10

Paganethos schrieb:
Das einzige, was man Apple ankreiden kann, ist, dass solche Funktionen per Default aktiviert sind. Das System im Auslieferungszustand sollte so sicher wie möglich sein.

Also nach einer Neuinstallation von SnowLeo waren die drei Optionen bei mir deaktiviert.

JackV · 22.07.10

speedlimiter schrieb:
Also nach einer Neuinstallation von SnowLeo waren die drei Optionen bei mir deaktiviert.

hab gerade nachgeschaut und die ersten beiden waren deaktiviert. die dritte habe ich jetzt auch deaktiviert, da ich solche sachen mit 1password eintragen lasse. die browserinternen ausfüllhilfen habe ich immer versucht zu meiden.

kreditkarteninformationen würde ich immer etwas verändern, wenn ich sie schon automatisch eintragen lassen will und die änderung dann manuel vornehmen.

Herein · 22.07.10

Sowas ist bei mir schon standardmäßig deaktiviert!

Gelernt aus Windows & IE Zeiten! :oops:

Ich will immer noch Herr über die Tastatureingaben sein!

ThreeOfNine · 22.07.10

Gilt diese Schwachstelle nicht für jeden Browser? Automatisches Ausfüllen hört sich ja schon nach Entmündigung an. Wozu denkt man sich denn regelmäßig neue ewig lange Kennwörter aus, wenn der Sicherheitsgedanke dahinter durch diese "Erleichterung" wieder wettgemacht wird?

Grawapple · 22.07.10

Danke für die News!

DIES IST AUCH SCHON BEI ÄLTEREN BROWSERN SO!! UNBEDINGT AUFPASSEN!!

Ich bekam mal ein Schreiben aus DE von wegen blabla und da vertrag unterzeichnet blabla...ich war nie auf der Seite...oder sie war höchstens als Popup da...dann trafen Warnungen von wegen Strafregistereintrag ien...ich hab nur gelacht weil ich Schweizer bin und mich DE-Strafrecht n Dreck kümmert xD Is nie mehr was passtiert, aber es kann auch dümmer gehn...

PEACE

.holger · 22.07.10

ThreeOfNine schrieb:
Gilt diese Schwachstelle nicht für jeden Browser? Automatisches Ausfüllen hört sich ja schon nach Entmündigung an. Wozu denkt man sich denn regelmäßig neue ewig lange Kennwörter aus, wenn der Sicherheitsgedanke dahinter durch diese "Erleichterung" wieder wettgemacht wird?

Automatisches Ausfüllen ist vor allem bei Adressen sinnvoll. So braucht man nur noch anfangen den Namen einzutippen, Straße und Stadt und so werden automatisch ausgefüllt. Ich ~~nutze das immer gern~~ habe das immer gern genutzt.

Schwachstelle in Safari: Automatisch ausfüllen

Borowitzky

Himbeerapfel von Holowaus

Auralia

Ribston Pepping

Grünapfel

Martini

Roter Delicious

Kaiser Wilhelm

Borowitzky

Roter Delicious

Eierleder-Apfel

Gelbe Schleswiger Reinette

Carola

deaktivierter Benutzer

Reinette Coulon

Ribston Pepping

Boskoop

Meraner

Uelzener Rambour

Borowitzky

Wir schützen Ihre Privatsphäre

Informationen auf einem Gerät speichern und/oder abrufen

Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen (Optionale Cookies)

Datenübermittlung an Partner in anderen Staaten (Drittanbieter-Cookies)