Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
NewsSicherheitslücke: Browser speichern Passwörter im Klartext im Arbeitsspeicher
Sicherheitsforscher haben eine Schwachstelle in Google Chrome gefunden, welche das Auslesen von Passwörtern im Klartext aus dem RAM ermöglicht. Mittlerweile gilt als gesichert, dass neben Googles Browser auch Microsoft Edge und Firefox betroffen ist und sehr sensible Daten unverschlüsselt im RAM ablegt.
Wenn Google das nicht behebt, wird es dem Unternehmen früher oder später schaden. Es ist komplett bescheiden wenn so was nicht behoben wird, gerade wo überall auf Sicherheit gesetzt wird, sollten Unternehmen alles daran setzen, solche Lücken zu schliessen.
Stattlich! Ich seh ja ein, dass es sicherheitstechnisch immer problematisch ist, wenn ein fremder User physischen Zugang zu einem System hat. Aber das heißt doch nicht, dass ich deswegen einfach alle Passwörter in Klartext in den Speicher laden kann...?!
Geht dieser Angriff auch an einem gesetzen Master Passwort vorbei bzw. werden die Daten auch mit Master Passwort im Klartext im RAM abgelegt? Wäre natürlich fatal.
Wer speichert zB Bank Passwörter schon im Browser? Wer solche Sachen im Browser speichert , ist selbst schuld und lost.
Ich speichere nur Passwörter im Firefox, wo die Dienste unwichtig sind und mir der Verlust egal ist. Die pw weisen auch keinerlei Ähnlichkeit mit wichtigsten Daten auf...
"Entschuldigung, in Ihrem Keller riecht es nach Gas" .... hm ich rieche nigs.
Entweder man kümmert sich oder das Ganze fliegt dir irgendwann um die Ohren.
Kann man nicht in den Browser-Einstellungen die Passwörter sowieso unverschlüsselt ansehen? Dass die im RAM dann unverschlüsselt vorliegen, macht ja dann irgendwie Sinn
Der "Hacker" kann sich die Passwörter auch im Chrome direkt ansehen. Wer im Chrome seine Passwörter speichert, hat die Kontrolle über sein Leben verloren.
Ein ehemaliger Kollege von mir hatte in seinem Browser Passwörter zu Online Banking, Amazon, einfach allem gespeichert. Mit dem hatte ich dann ein hoffentlich aufschlussreiches Gespräch als ich ihm erzählt hatte, dass ich theoretisch TAN freie Beträge vom Bankkonto seiner Frau abbuchen könnte.
Einfach unverständlich wieso Google da nichts unternehmen möchte. @SVΞN Gibt es zufällig auch eine Stellungnahme von Mozilla zu dem Thema? Würde mich echt interessieren.
MFG Piet
Ich frage mich gerade wie es anders gehen soll. Der wird die Passwörter bei Verwendung laden aber die müssen ja entschlüsselt werden. Wenn sie verschlüsselt in den RAM geladen werden würden, müsste man auch den entsprechen Schlüssel in den RAM laden. Welcher natürlich auch wieder ausgelesen werden kann. Damit hätte man nichts gewonnen. So oder so, sollte 2FA Pflicht werden
@wolve666 nur weil du einem solchen Passwort Manager nicht vertraust, heißt das nicht, dass da niemand tut. Erkläre mal meinen Eltern, meiner Freundin oder sonst wem, warum der bequeme Manger im Chrome so viel schlechter ist als ein KeePass (etc...)
@keepit69hz ohne Master Passwort, ja! Andernfalls frägt zumindest der FF einmal pro Session (wobei das mMn. auch noch recht unsicher ist)
Der RAM ist doch gleich das nächste, wenn man sich über Security Gedanken macht.
An erster Stelle wäre da "sensible Informationen nur verschlüsselt auf dem Laufwerk speichern" gefolgt von "sensible Informationen nur verschlüsselt im RAM ablegen" gefolgt von "sensible Informationen nur verschlüsselt übertragen".
Abe die Frage ist hier: Werden die Passwörter auch dann im Klartext im RAM abgelegt, wenn ich sie nicht vorher in Chrome gespeichert habe? Also rein logisch gesehen sind die Passwörter ja im RAM, sobald ich sie getippt aber noch nicht abgeschickt habe. Wüsste jetzt nicht, warum genau das verschlüsselt sein sollte, jedoch das AutoFill nicht?
es geht nicht nur um gespeicherte passwörter sondern auch um manuell eingegebene. zusätzlich kann man session-cookies auslesen, die nach dem erfolgreichen authenfizieren erstellt wurden. das ist schon etwas uncool.
Entweder man hat ein sauberes System oder ein kompromittiertes. Wenn Fremdzugriff besteht nutzen verschlüsselte Passwörter im Arbeitsspeicher gar nichts, der Schlüssel muss ja auch im Speicher sein. Daneben müssen die Daten wahrscheinlich auch kurzzeitig entschlüsselt sein wenn sie beispielsweise an den TCP/IP-Stack weitergereicht werden, etc.
das ist richtig, allerdings sollte dieser speicher des os nicht von jedem x-beliebigen programm ohne besondere rechte auslesen werden können. genau das ist aber beim browser möglich.
Genau das habe ich mir auch gedacht... Muss ja in Klartext vorliegen, wenn der Browser die Felder befüllen soll mit dem PW nützt es nix den Hash da reinzukopieren.
