Sicherheitslücken im Firefox Passwort Manager

#1 http://www.heise.de/newsticker/meldung/92994

Zitat

Die Mozilla-Entwickler haben ein bekanntes Loch im Passwort Manager von Firefox & Co gestopft – und doch ein Tor für Missbrauch offen gelassen. Der eingebaute Passwort Manager des Open Source Browsers speichert auf Wunsch des Benutzers Passwörter und füllt die entsprechenden Formularfelder beim nächsten Besuch dann automatisch aus. Dies geschieht nicht nur auf der Seite, auf der man das Passwort gespeichert hat, sondern auch auf jeder anderen Seite auf diesem Server, die ein ähnliches Formular enthält.

Dürfen Anwender auf einem Server eigene Webseiten erstellen, wie das beispielsweise bei vielen Community-Sites der Fall ist, kann ein Angreifer das Login-Formular nachbauen und sich die automatisch eingesetzten Zugangsdaten auf seinen eigenen Server schicken lassen. Dazu konnte er früher ein Login-Formular sogar so gestalten, dass es die Daten beim Klick auf "Anmelden" direkt auf seinen eigenen Server überträgt. Trotzdem setzte Firefox die Daten automatisch ein. Das haben die Entwickler mittlerweile geändert. Sie überprüfen jetzt das Ziel der Übertragung, mit dem Resultat, dass die Demo von heise Security nicht mehr funktionierte. Einem Leser fiel jedoch auf, dass man das Ziel der Formularübertragung gar nicht ändern muss, sondern man die automatisch eingesetzten Daten via JavaScript auslesen und dann verschicken kann. Dazu muss die Seite lediglich via DOM (document.<form>.<field>.value) darauf zugreifen.

Die Entwickler wissen um das Problem, eine Abhilfe wird es aber wohl nicht geben. Die Heise-Argumentation das man durch Verzicht auf den Firefox Passwort Manager nicht unbedingt sicherer lebt, weil man dann einfachere Passwörter wählen würde ist natürlich quatsch. Externe Passwort Manager für alle Betriebssysteme gibt es bekanntlich zu hauf, teilweise sogar schon im Lieferumfang des OS.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.