Nochmal zwei Beispiele:
Schlecht - gmx.de
Direkt auf der Startseite wird mit jeglichem anderen, fremden Content, gepaart mit Werbung das Login-Formular präsentiert. Dein Passwortmanager speicher also Passwort + Username auf die Domain
gmx.de
. Surfst du nun also auf GMX -
irgendwo - und sieht der Passwortmanager ein Formular mit Username und Passwort, werden die Zugangsdaten für deinen Account geleakt. Egal ob das von GMX selbst kommt oder von nem Ad-Server. Das bedingt natürlich auch eine entsprechend schlechte
CSP.
GMX CSP Check:
https://cspscanner.com/?q=https://www.gmx.de
Fazit: miserabel
An wen du potentiell bei GMX leakst:
Beachte die Scrollleiste!
Mal aufgeschlüsselt (Achtung satte
182 Hosts sind involviert, nur auf der Startseite):
Guter Schnitt, nicht wahr?
Durch ein manuelles Autofill hast du zumindest die Kontrolle, dass nur auf der Startseite (mit dem richtigen Login-Formular) die Daten ausgefüllt werden. Surfst du quer durch GMX und hast 10 verseuchte Ad-Server abbekommen und dein Passwortmanager hat schön alle Formulare ausgefüllt, hast du deinen Account zehnmal geleakt. Mit nem manuellen Fill ist dies maximal einmal passiert - direkt auf der Startseite beim richtigen Login. Multiplizier diesen Faktor bitte mit der Anzahl der Hosts oben.
Gut - Computerbase
Willst du dich einloggen, wirst du auf
/forum/login
umgeleitet, auf welcher sich keine Werbung oder anderweitige Drittanbieter-Scripte befinden. Username und Passwort werden also auf
computerbase.de/forum/login
abgelegt. Surfst du nun auf Computerbase und begegnest entsprechenden Ad-Servern, ist das dem Passwortmanager egal, denn die Credentials liegen auf
computerbase.de/forum/login
. Ergo wird dort nichts automatisch ausgefüllt, außer du bist auf der eigens existierenden Login-Seite, wo sich auch keine Ads befinden.
CSP Check:
https://cspscanner.com/?q=https://www.computerbase.de
Fazit: nicht viel besser, aber da die Loginseite ausgelagert ist und dort keine Drittanbieter-Scripte ausgeführt werden, ist das sicher. Unterschieben kann man dir das mit automatischem Autofill natürlich trotzdem.
An wen du bei CB leaken würdest:
kurz: niemandem
Die
Default Match Detection von Bitwarden ist auch etwas kontrovers. Standardmäßig steht diese auf
Base domain
, d.h. selbst wenn du
computerbase.de/forum/login
hinterlegt haben solltest, füllt er trotzdem wild auf
computerbase.de
alles aus. Selbst
subdomain.computerbase.de
würde automatisch ausgefüllt werden.
Ein Minimum an Sicherheit stellt erst
Starts with
dar, damit die Login Daten auch dort bleiben, wo sie abgespeichert wurden und nicht quer übers Forum verteilt werden könnten.
burglar225 schrieb:
Mit Ad-Blocker kann dir das aber auch nicht passieren.
Mit kann das auch passieren, schließlich hinken AdBlocker auch nur hinterher und können erst filtern, wenn das Kind bereits in den Brunnen gefallen ist. Außerdem wird ja nicht alles und jeder geblockt.
Was mit Firefox' Tracking Protection und uBlock bei mir durchkommt:
Tracking Protection + uBlock + PiHole:
Ein manueller Autofill ist ja aber auch nicht schwer. Entweder du triggerst es schnell übers Kontextmenü oder du nutzt den Keyboard Shortcut
Strg + Shift + L
fürs Einsetzen des letzten Autofills. Den Shortcut kann man aber auch in jedem Browser manuell ändern, dass man keine Verrenkungen veranstalten muss.