Browser zu arglos
Autofill schuld: Passwort-Manager hinterlassen Datenspuren
Je nachdem, auf welchen Passwort-Manager ihr bei euren Ausflügen im Netz zugreift, können euch Werbeanbieter möglicherweise über mehrere Webseiten hinweg tracken, zweifelsfrei identifizieren und bestimmten Nutzer-Accounts zuordnen.
Dies legen aktuelle Forschungsergebnisse des „Princeton Center for Information Technology Policy“ nahe.
Web-Tracker nutzen Passwort-Manager in Browsern aus
Unter der Überschrift „Web-Tracker nutzen Passwort-Manager in Browsern aus“ hat dieses nun eine Tracking-Strategie der Werbe-Industrie beleuchtet, die die Autofill-Funktion verschiedener Passwort-Manager ausnutzt.
Vorab: Ihr seid „verwundbar“, wenn euer Passwort-Manager angezeigte Login-Felder automatisch mit euren Kontodaten füllt und nur noch auf den Befehl zum Absenden des Formulars wartet.
So laden immer mehr Werbeanbieter nicht nur ihre Banner, sondern auch versteckte Login-Formulare populärer Webseiten. Sobald diese von eurem Passwort-Manager automatisch befüllt wurden, lesen kleine Javascript-Schnipsel die Informationen (zumeist den Nutzernamen oder die E-Mail-Adresse) wieder aus und können euch so eine spezifische ID zuordnen, die euch über mehrere Webseiten hinweg im Werbenetzwerk des Anbieters identifizieren kann.
Den Angriff bzw. eure Verwundbarkeit könnt ihr auf dieser Demo-Seite testen oder auch einen Blick auf dieses Video werfen.
Built-in login managers have a positive effect on web security: they curtail password reuse by making it easy to use complex passwords, and they make phishing attacks are harder to mount. Yet, browser vendors should reconsider allowing stealthy access to autofilled login forms in the light of our findings. More generally, for every browser feature, browser developers and standard bodies should consider how it might be abused by untrustworthy third-party scripts.
1Password, das Unternehmen hat die Forschungsergebnisse in einem eigenen Blog-Eintrag kommentiert, verzichtet grundsätzliche auf das automatische Ausfüllen von Passwort-Feldern.
1Password füllt bei mir oft die Passwörter automatisch aus, komisch
Bei mir noch nie. Und das ist auch gut so. Bin also offenbar auf der „sicheren“ Seite. :)
Neee, nur auf Knopfdruck.
Du kannst es unter Einstellungen–>Browser und dann den Hacken bei „Ausfüllen auf Seiten erlauben, die genau mit gespeicherten Webseiten übereinstimmen“ entfernen. Der Hacken muss vom Benutzer nach der Installation selbst gesetzt werden. Musst du also irgendwann mal gemacht haben.
Hacken?!
Wieso füllt ein Tool ein Loginformular aus, auch wenn ich mich nicht auf der entsprechenden Seite für dieses Login befinde?
Du solltest den Text vielleicht nochmal in Ruhe lesen und dann eventuell verstehen….
Weil es für Kontaktdaten und ähnliches nicht immer eine „spezielle“ Seite braucht. Mache Programme machen das automatisch, wenn sie nur ein entsprechendes Feld erkennen. Geht halt fix, wird aber wohl ausgenutzt.
@joe: nochmal lesen! Die Webseiten probieren verschiedene Login-Seiten aus. Ansonsten würde kaum ein Passwortmanager die Seite automatisch ausfüllen.
Und was ist mit den Formularfeldern in Safari? Also Adresse, Name,…?
Diese werden ja erst durch meine Aktion ausgefüllt, sollte also ok sein oder?
Lastpass funktioniert auf der Demo nicht, womöglich hat man intern diese Seite blockiert, um weiteren Rufschaden zu vermeiden. Autofill ist jedenfalls standardmäßig eingeschaltet….
War doch von vornherein schon denkbar, hab ich bei allen deaktiviert, zum Glück, die News bestätigt. Danke ifun.
Bei Lastpass ist trotz extra eingeschaltetem „Autologin“ nichts passiert. Wenn ich manuell auf „Autologin“ klicke, wurden die Infos aber tatsächlich gesnifft.
Es ist mir rätselhaft, wie man als halbwegs vernünftiger Mensch heutzutage noch ohne AdBlocker und Tracking-Filter im Netz unterwegs sein kann.
Mir ist klar, dass ich damit einigen Websites mittelbar schade, aber was die Ad-Networks hier loslassen, ist unter aller Sau. Sie zerstören damit systematisch das freie Internet, und damit ihre eigene Geschäftsgrundlage.
Ich verstehe das Problem nicht. Wenn meine Anmeldedaten von Amazon gespeichert sind, dann füllt der Browser diese automatisch auf amazon.de aus. Wenn ich auf eine andere Seite gehe, tut er das nicht, denn das ist an die URL gebunden. Einzig Amazon selbst könnte mich tracken, wenn ich auf amazon.de/video/ gehe. Dann darf ich aber nicht eingeloggt sein. Aber amazon.de trackt mich eh über Cookies und GA!? Und amazon.de kein mein Profil auch im ausgeloggten Zustand mir zuordnen. Was ist jetzt das neue an dieser Technik, außer dass sie komplizierter ist? Die Daten werden an Werbetreibende weitergegeben. Aber amazon.de muss diese Scripte erst einbinden. Wenn sie eh soweit gehen würde, würden sie einfach ihre Trackingdaten verkaufen können. Nochmal: Was ist neu? Soweit ich weiß werden Formularfelder, besonders Passwörter, nicht ohne HTTPS-Verbindung ausgefüllt und abgeschickt. Ein externes Script kann an die Daten also gar nicht rankommen.
Kein Problem mit Roboform bei der Testseite…
Kann so auch das Passwort ausgelesen werden? Mit einem versteckten Feld?
Auf der Demoseite wird Dir das Passwort jedenfalls im Klartext angezeigt…
Hm, da hilft mir meine Paranoia halt doch- etwas auf Komfort verzichten, dafür nicht überall so einfach seine Spuren hinterlassen: Bei Autofill hatt‘ ich nich nie ein gutes Bauchgefühl
das ganze funktioniert anscheinend auch mit dem Schlüsselbund in Safari.
Also sollte man den auch nicht mehr verwenden.