Abo
  • Services:
Anzeige
Passwortklau durch preventDefault()
Passwortklau durch preventDefault() (Bild: Neophasis)

Browser: preventDefault() ermöglicht Passwortklau

Passwortklau durch preventDefault()
Passwortklau durch preventDefault() (Bild: Neophasis)

Mit einem einfachen Trick ist es möglich, Nutzern Passwörter zu entlocken, zeigt der Blogger h43z. Er nutzt dazu ein von Neophasis zuvor entdecktes Problem, das durch die Standard-DOM-Methode preventDefault() in allen Browsern besteht.

Bereits Mitte November hat das auf mobile Sicherheit spezialisierte Unternehmen Neophasis darauf hingewiesen, dass sich die DOM-Methode preventDefault() missbrauchen lässt. Die in allen Browsern implementierte Methode sorgt dafür, dass der Browser die eigentlich für ein Ereignis vorgesehenen Funktionen nicht ausführt. Entwickler können das Standardverhalten von Browsern ändern, beispielsweise, um auf einen Rechtsklick zu reagieren, ohne dass das Kontextmenü des Browsers angezeigt wird.

Anzeige

Mit preventDefault() kann allerdings auch das Standardverhalten von Tastenkombinationen geändert werden, beispielsweise "Strg + F" oder "Kommando + F", womit in aller Regel eine lokale Suche innerhalb einer Webseite angestoßen wird. Neophasis warnt nun, dieses Verhalten könnten Angreifer ausnutzen, um einen gefälschten Suchdialog einzublenden und so Nutzern ihre Sucheingaben zu stehlen.

Der Blogger h43z hat die Idee nun beispielhaft umgesetzt. Er zeigt auf einer Webseite eine Liste von Passwörtern, so dass Nutzer die Suchfunktion nutzen können, um herauszufinden, ob auch ihr Passwort darin enthalten ist. Sobald Nutzer ihr Passwort in die vermeintlich lokale Suchfunktion des Browsers eingeben, hat der Angreifer Zugriff darauf.

Der Blogger weist aber darauf hin, dass sich der Suchdialog der Browser unterscheidet, was seine Demo noch nicht tut.

Neophasis rät Browserherstellern, ihre Suchdialoge aus dem Content-Bereich herauszunehmen, so dass Angreifer diese nicht mehr täuschend echt nachahmen können. Alternativ könnten Browser auch darauf hinweisen, wenn eine Website die Methode preventDefault() im Zusammenhang mit einer vom Browser belegten Tastenkombination aufruft.


eye home zur Startseite
derVerzweifler 05. Dez 2012

Willst du mir ernsthaft unterstellen, dass ich das Vorgehen nicht verstehe? Hast du...

Ovaron 05. Dez 2012

True Story: Schulkamerad hat in einer Firma gearbeitet die Geldautomaten repariert. Er...

lear 05. Dez 2012

Beim vorgestellten Ansatz soll der Nutzer davon ausgehen, das er das PW lokal eingibt...

FibreFoX 04. Dez 2012

Ich kann ja verstehen, dass dies eine Art Risiko darstellt, wenn Tastenkürzel abgegriffen...

azeu 04. Dez 2012

Wenn es auf der Seite um vermeintlich geknackte FB-Passwörter geht, dann weiß der Hacker...



Anzeige

Stellenmarkt
  1. IHI Charging Systems International GmbH, Heidelberg
  2. Daimler AG, Sindelfingen
  3. SICK AG, Hamburg
  4. Daimler AG, Böblingen


Anzeige
Spiele-Angebote
  1. mit Gutscheincode PCGAMES17 nur 82,99€ statt 89,99€
  2. 12,99€

Folgen Sie uns
       


  1. Pixel Visual Core

    Googles eigener ISP macht HDR+ schneller

  2. TK-Marktstudie

    Telekom kann ihre Glasfaseranschlüsse nur schwer verkaufen

  3. Messenger

    Whatsapp lässt Aufenthaltsort über längere Zeiträume teilen

  4. ZBook x2

    HPs mobile Workstation macht Wacom und Surface Konkurrenz

  5. Krack-Angriff

    Kein Grund zur Panik

  6. Electronic Arts

    Entwicklungsneustart für Star Wars Ragtag

  7. EU-Urheberrechtsreform

    Streit über Uploadfilter und Grundrechte

  8. Netzneutralität

    Warum die Telekom mit Stream On noch scheitern könnte

  9. Polestar

    Volvo will seine Elektroautos nicht verkaufen

  10. Ivoxia NVX 200

    Tischtelefon für die Apple Watch 3



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Flettner-Rotoren: Wie Schiffe mit Stahlsegeln Treibstoff sparen
Flettner-Rotoren
Wie Schiffe mit Stahlsegeln Treibstoff sparen
  1. Hyperflight China plant superschnellen Vactrain
  2. Sea Bubbles Tragflächen-Elektroboote kommen nach Paris
  3. Honolulu Strafe für Handynutzung auf der Straße

Cybercrime: Neun Jahre Jagd auf Bayrob
Cybercrime
Neun Jahre Jagd auf Bayrob
  1. Antivirus Symantec will keine Code-Reviews durch Regierungen mehr
  2. Verschlüsselung Google schmeißt Symantec aus Chrome raus
  3. Übernahme Digicert kauft Zertifikatssparte von Symantec

Passwortmanager im Vergleich: Das letzte Passwort, das du dir jemals merken musst
Passwortmanager im Vergleich
Das letzte Passwort, das du dir jemals merken musst
  1. 30.000 US-Dollar Schaden Admin wegen Sabotage nach Kündigung verurteilt
  2. Cyno Sure Prime Passwortcracker nehmen Troy Hunts Hashes auseinander
  3. Passwortmanager Lastpass ab sofort doppelt so teuer

  1. Re: Whatsapp kopiert nur noch von Telegram...

    Trollversteher | 11:50

  2. Woran liegt das wohl...

    Snowi | 11:49

  3. Re: Alleine auf Grund der zurückgehaltenen Studie....

    DooMRunneR | 11:49

  4. Re: Bitte nicht schon wieder ...

    dEEkAy | 11:46

  5. Re: Selber schuld

    Menplant | 11:43


  1. 11:48

  2. 11:21

  3. 11:09

  4. 11:01

  5. 10:48

  6. 10:46

  7. 10:20

  8. 09:01


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel