News Auch auf Facebook & Gmail: Chrome-Erweiterungen können Passwörter im Klartext auslesen

[Termy]

Im Bericht wird auch erwähnt, dass man auch bei Firefox problematische Erweiterungen gefunden hat.

Ich habe jetzt nochmal etwas nachgeforscht. Wenn ich nicht komplett falsch liege, dann ist es beim Fuchs tatsächlich etwas besser, da der Zugriff auf die DOM eine eigene Berechtigungskategorie ist. Also zwar auch nicht optimal und "Augen auf beim gewähren von Berechtigungen" - aber das sollte ja eigentlich eh Standard sein
Und selbst so bleibe ich dabei: keine Addons, die nicht quelloffen und frei sind.
Aber immerhin besser als bei chromium-Browsern

Wird denn der DOM Zugriff unter den Berechtigungen angezeigt, also kann ich das aktiv beurteilen als User?

Bei chromium wohl nicht, bei FF schon - siehe oben.

Eine Baustelle ist, dass einige Browser den Add-ons erlauben, die gespeicherten Credentials im integrierten Passwortmanager der Browser im Klartext zu lesen. Dadurch können die Add-ons alle Deine dort gespeicherten Credentials abgreifen.

Das hat absolut nichts mit dem hier besprochenen Problem zu tun.

 

[Zarlak]

Alles Gute zum 25.Geburtstag Google! 🙄🖕

 

[DaZpoon]

Tja, ist manchmal schon haarsträubend was für Implementierungen unterwegs sind. Das ist aus meiner Sicht aber primär ein Problem der Website- bzw. Bibliotheks-Entwickler.
Beispiel: Vor gut 2 Jahren konnte ich noch problemlos die eigentlich bezahlpflichtigen Artikel unserer Regionalzeitung lesen. In der gerenderten Ansicht war der Artikel nur Auszugsweise drin - Aber im übermittelten (per CSS+JavaScript ausgeblendeten) Quelltext stand der volle Artikeltext. Irgendwann hat's dann doch einer gecheckt, ging aber über ein Jahr lang.

Können die Plugins eigentlich auch auf die Cookies zugreifen? Wenn ja, dann ade Session-ID.

 

[feidl74]

Wenn man sich so sicherheitslücken auf der Zunge zergehen lässt, erschließt sich mir der Eindruck, daß Mensch weit davon entfernt ist, die Technik im Griff zu haben.
Vielmehr ist es ja so, daß neues in diesem Gebiet, auch zu neuen sicherheitslücken führt. Das ist nicht nur auf chrome/Google beschränkt, sondern gilt fur jeden techkonzern. Siehe auch Microsoft und der Umgang mit der Sicherheit von azure usw.
Und dort sitzen Leute, die dafür bezahlt werden, sowas zu "sichern" tun es aber nicht. Kunde was willst du mehr....

 

[Corin Corvus]

Alle die keine Werbung auf Youtube haben wollen denen YT Premium zu teuer ist.
Da kann DNS basiertes Blocken leider nichts dran tun.

Der Browser Brave hat das alles so mit drin. Nutze seitdem nur noch den. Auf Android klappt das auch bei Youtube mit dem Browser. Hinzu kommt, dass man bei dem Browser Premium Features wie "im Hintergrund abspielen" direkt mit drin hat. Den ganzen brave news und wallet Kram kann man abschalten.

 

[Boerkel]

Wenn man sich so überlegt, auf was normale Anwenderprogramme vor gar nicht so langer Zeit alles Zugriff hatten...
Die Punkte bei Passwort-Eingabefelder sind nur für die optischen Schutz vor neugierigen Bildschirmspickern gedacht. Intern ist das einfach in Klartext drin.
Kann ne Erweiterung auf das HTML/DOM zugreifen, dann bekommt man auch alle Eingaben. Da kann man als Websiteentwickler kaum was dagegen tun.
Das zeigt eigentlich nur, wie sorglos man eigentlich Sachen installiert - bekenne mich auch schuldig.

 

[UhrenPeter]

Mit NewPipe über F-Droid hat man sogar noch mehr Möglichkeiten.
Und am PC sollte uBlock und SponsorBlock für alle YouTube-Besucher Pflicht sein.

Die Umsetzung der Werbung auf YouTube ist einfach unerträglich geworden.
Anfangs war es für mich selbstverständlich, den Service durch Werbung zu unterstützen, aber irgendwann war es einfach viel zu viel.

 

[Herdware]

der Eindruck, daß Mensch weit davon entfernt ist, die Technik im Griff zu haben

Angesichts der ganzen Meldungen über immer neue bzw. neuentdeckte alte Sicherheitslücken in Software und Hardware, muss man sich wohl mit der Realität abfinden, dass praktisch keine Daten auf einem vernetzten Computer komplett sicher sind. Alles ist längst viel zu komplex geworden um sicher zu sein.

Vielleicht haben ein paar Geheimdienste spezielle, vernetzte Computersysteme, die man als weitgehend sicher ansehen kann, aber für Normalsterbliche, Großunternehmen wie Cloudanbieter, Banken usw. eingeschlossen, gibt es nur mehr oder weniger unsicher. Wobei sich der Grad der Unsicherheit in der Regel nur aus dem Verhältnis des Aufwands beim Ausnutzen einer oder mehrerer Sicherheitslücken zum Wert der erbeuteten Daten ergibt.

Das beste, was man als normaler Anwender tun kann, ist seinen Computer zumindest so weit (durch Patches usw.) abzusichern, dass es den Hackern den Aufwand nicht wert ist, z.B. einen schnöden Foren-, Gaming- oder Social-Media-Account zu erbeuten.
Überall wo direkt Geld im Spiel ist, z.B. beim Online-Banking, Kreditkarten usw., sollte man auf Multi-Faktor-Authentisierung setzen, denn den PC oder das Smartphone sollte man immer als kompromittiert ansehen.

 

[feidl74]

@Herdware
Ich würde eher sagen, solange man den Kunden melken kann und er si h melken lässt, kann es den Firmen egal sein. Bissl patches da und hier und so tun als ob man alles im Griff hat, reicht ja. Fur mich persönlich ist das egal, aber andere bezahlen Haufen geld eden monat für dann genau was? Nur fürs ich lass mir ein x für ein u verkaufen?

 

[Hito360]

Man stelle sich vor, AdBlocker/Browsererweiterungen gibts auch ohne Chrome
und damit ohne diese hier berichteten Sicherheitsbedenken.

Ich habe und hatte noch nie eine Erweiterung installiert. Viele halten mich für verrückt weil ich ohne Adblocker unterwegs bin....

und alle haben Recht, wenn man davon ausgeht wieviel dein Gehirn filtern/erkennen muss vs. der Rest von uns mit Blocker.

Du verlierst auch einfach mehr Zeit um an dieselben Inhalte zu kommen, wenn du erstmal schauen musst was ist Werbung, was nicht - wo kann ich klicken, wo nicht.

Aber jedem das Seine, solange derjenige nicht abhebt und oder nur recht wenige vertraute Webseiten nutzt

 

[Kano]

Man stelle sich vor, AdBlocker/Browsererweiterungen gibts auch ohne Chrome
und damit ohne diese hier berichteten Sicherheitsbedenken.

Die einzige mir bekannte Implementierung die nicht davon betroffen ist sind Inhaltsblocker in Safari, weil diese auf vordefinierte Blocklisten im JSON Format basieren. Das bringt allerdings nur dem Apple User etwas.

DNS Blocker wie PiHole haben dieses spezifische Problem zwar auch nicht aber öffnen dafür einen potentiellen Weg für Man-in-the-middle Angriffe.

 

[tollertyp]

Naja, um gegen Man-in-the-Middle dann anfällig zu sein, muss man erst mal dem "falschen" Zertifikat trauen.
Ist ja nicht so, dass der gesamte Traffic über den DNS-Server geht.

Ach ja, wenn der Provider gehackt wird und sein DNS-Server manipuliert, dann ist das auch ein potentieller Weg...