Anzeige
Passwortklau durch preventDefault()
Passwortklau durch preventDefault() (Bild: Neophasis)

Browser preventDefault() ermöglicht Passwortklau

Mit einem einfachen Trick ist es möglich, Nutzern Passwörter zu entlocken, zeigt der Blogger h43z. Er nutzt dazu ein von Neophasis zuvor entdecktes Problem, das durch die Standard-DOM-Methode preventDefault() in allen Browsern besteht.

Anzeige

Bereits Mitte November hat das auf mobile Sicherheit spezialisierte Unternehmen Neophasis darauf hingewiesen, dass sich die DOM-Methode preventDefault() missbrauchen lässt. Die in allen Browsern implementierte Methode sorgt dafür, dass der Browser die eigentlich für ein Ereignis vorgesehenen Funktionen nicht ausführt. Entwickler können das Standardverhalten von Browsern ändern, beispielsweise, um auf einen Rechtsklick zu reagieren, ohne dass das Kontextmenü des Browsers angezeigt wird.

Mit preventDefault() kann allerdings auch das Standardverhalten von Tastenkombinationen geändert werden, beispielsweise "Strg + F" oder "Kommando + F", womit in aller Regel eine lokale Suche innerhalb einer Webseite angestoßen wird. Neophasis warnt nun, dieses Verhalten könnten Angreifer ausnutzen, um einen gefälschten Suchdialog einzublenden und so Nutzern ihre Sucheingaben zu stehlen.

Der Blogger h43z hat die Idee nun beispielhaft umgesetzt. Er zeigt auf einer Webseite eine Liste von Passwörtern, so dass Nutzer die Suchfunktion nutzen können, um herauszufinden, ob auch ihr Passwort darin enthalten ist. Sobald Nutzer ihr Passwort in die vermeintlich lokale Suchfunktion des Browsers eingeben, hat der Angreifer Zugriff darauf.

Der Blogger weist aber darauf hin, dass sich der Suchdialog der Browser unterscheidet, was seine Demo noch nicht tut.

Neophasis rät Browserherstellern, ihre Suchdialoge aus dem Content-Bereich herauszunehmen, so dass Angreifer diese nicht mehr täuschend echt nachahmen können. Alternativ könnten Browser auch darauf hinweisen, wenn eine Website die Methode preventDefault() im Zusammenhang mit einer vom Browser belegten Tastenkombination aufruft.


eye home zur Startseite
derVerzweifler 05. Dez 2012

Willst du mir ernsthaft unterstellen, dass ich das Vorgehen nicht verstehe? Hast du...

Ovaron 05. Dez 2012

True Story: Schulkamerad hat in einer Firma gearbeitet die Geldautomaten repariert. Er...

lear 05. Dez 2012

Beim vorgestellten Ansatz soll der Nutzer davon ausgehen, das er das PW lokal eingibt...

FibreFoX 04. Dez 2012

Ich kann ja verstehen, dass dies eine Art Risiko darstellt, wenn Tastenkürzel abgegriffen...

azeu 04. Dez 2012

Wenn es auf der Seite um vermeintlich geknackte FB-Passwörter geht, dann weiß der Hacker...

Kommentieren



Anzeige

  1. Service Delivery Manager (m/w)
    T-Systems International GmbH, München
  2. System Engineer IMS Core (m/w)
    Deutsche Telekom Technik GmbH, Bonn, Darmstadt
  3. Leitung IT-Prozesse / Anwendungen (m/w)
    ERDINGER Weißbräu, Erding
  4. IT-Testmanager Customer Order Management (m/w)
    Media-Saturn IT Services GmbH, Ingolstadt

Detailsuche



Anzeige
Top-Angebote
  1. NUR BIS SONNTAG: 3 für 2 Aktion
    (über 1.500 Blu-rays, DVDs, Box-Sets & Serien)
  2. VERKAUFSSTART AB HEUTE 15 UHR: GeForce GTX 1080 Info-Seite
    ab 27.05. um 15 Uhr verfügbar
  3. VORBESTELLBAR: ASUS GeForce GTX 1080 Founders Edition
    789,00€

Weitere Angebote


Folgen Sie uns
       


  1. Lensbaby

    Fisheye-Objektiv Circular 180+ für die Gopro

  2. Werbeversprechen

    Grüne fordern Bußgelder für langsame Internetanbieter

  3. Stratix 10 MX

    Alteras Chips nutzen HBM2 und Intels Interposer-Technik

  4. Java-Rechtsstreit

    Oracle verliert gegen Google

  5. Photoshop Content Aware Crop

    Schiefe Fotos geraderücken

  6. HP Omen

    4K-Gaming-Notebooks und ein wassergekühlter Desktop-Rechner

  7. 100 MBit/s

    Telekom stattet zwei Städte mit Vectoring aus

  8. Sprachassistent

    Voßhoff will nicht mit Siri sprechen

  9. Sailfish OS

    Jolla bringt exklusives Smartphone nur für Entwickler

  10. Projektkommunikation

    Tausende Github-Nutzer haben Kontaktprobleme



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Traceroute: Wann ist ein Nerd ein Nerd?
Traceroute
Wann ist ein Nerd ein Nerd?

Formel E: Monaco-Feeling beim E-Prix in Berlin-Mitte
Formel E
Monaco-Feeling beim E-Prix in Berlin-Mitte
  1. Hewlett Packard Enterprise "IT wird beim Autorennen immer wichtiger"
  2. Roborace Roboterrennwagen fahren mit Nvidia-Computer
  3. Elektromobilität BMW und Nissan wollen in die Formel E

Moto G4 Plus im Hands on: Lenovos sonderbare Entscheidung
Moto G4 Plus im Hands on
Lenovos sonderbare Entscheidung
  1. Lenovo Moto G4 kann doch mit mehr Speicher bestellt werden
  2. Android-Smartphone Lenovos neues Moto G gibt es gleich zweimal
  3. Motorola Aktionspreise für aktuelle Moto-Smartphones

  1. Re: Glück gehabt.

    ThiefMaster | 10:21

  2. Re: Warum so niedermachen?

    Bouncy | 10:20

  3. Re: Falscher Ansatz

    s.bona | 10:20

  4. Lieber Vectoring als gar nix!

    sundown73 | 10:19

  5. Ist denn schon Sommerloch und die Hinterbänkler...

    Mopsmelder500 | 10:18


  1. 10:11

  2. 09:55

  3. 08:45

  4. 08:25

  5. 07:43

  6. 07:15

  7. 19:05

  8. 17:50


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel