News Sicherheitslücke: Browser speichern Passwörter im Klartext im Arbeitsspeicher
- Ersteller SVΞN
- Erstellt am
- Zur News: Sicherheitslücke: Browser speichern Passwörter im Klartext im Arbeitsspeicher
wolve666
Vice Admiral
- Registriert
- März 2009
- Beiträge
- 6.372
Hab ich ja auch nicht gesagt. Gibt genug, ich nenn sie mal DAUS, die den Dingern vertrauen. Weil ist ja bequem und man muß sein Hirn nicht einschalten.Hannibal Smith schrieb:
Ergänzung ()
Das wäre natürlich fatal. Aber hat man da sich nicht schon nen tracker eingefangen?0x8100 schrieb:
Enigma
Captain
- Registriert
- Apr. 2004
- Beiträge
- 3.906
Ich sehe klar die Argumente von Wont-Fix. Das ist kein Problem des Browsers, das ist ein Problem des Betriebssystems. Der Browser kann die Passwörter verschlüsseln - das macht es nur MINIMAL schwieriger die Passwörter auszulesen, weil das Passwort für die Verschlüsselung ebenfalls im Arbeitsspeicher ist. Das gleiche Problem haben ja KeePass und Konsorten, die gehen dann hin und löschen die Passwörter aus dem RAM - das ist im Brower halt null praktikabel.
Microsoft arbeitet an virtualisierungsbasierter Sicherheit - das wäre der richtige weg.
Microsoft arbeitet an virtualisierungsbasierter Sicherheit - das wäre der richtige weg.
leipziger1979
Rear Admiral
- Registriert
- Dez. 2014
- Beiträge
- 6.118
Ja, wenn das erst möglich hast du eh ganz andere Probleme.
Zudem nutzen eh viele die Funktion zum speichern von Passwörtern im Browser, von daher kommst auch da ganz leicht ran.
Aber Artikel von "Sicherheitsforschern", wo mal wieder irgendeine Sau durchs Dorf getrieben wird, überfliege ich nur noch weil die meist fern jeglicher Praxis sind.
conf_t
Admiral
- Registriert
- Juni 2008
- Beiträge
- 9.398
Mir war der Text der Meldung nicht differenziert genug beim Überfliegen. Betrifft "Anmeldedaten", die in Klartext im RAM abgelegt sind nun die browsereigenen Passwortmanager, oder auch die Daten, die ich manuell in einer Anmeldemaske per Hand eingebe (oder einem externen PW-Manager?).
ZenMasterTM
Lt. Junior Grade
- Registriert
- Sep. 2021
- Beiträge
- 336
Ich möchte gerne wissen, wie es auf der Hardware-Seite aussieht. Was für ein System wurde verwendet? AMD wirbt doch mit ihrem Memory Guard, der den RAM vollständig verschlüsselt.
Intel hatte mal Total Memory Encryption (TME) beziehungsweise Multi-Key Total Memory Encryption (MKTME) angekündigt, aber eine CPU, die das bietet gibt es meines Wissens nach noch nicht.
Wäre mit sowas das Problem gelöst?
Es gehört ja irgendwie mehr dazu als sich nur die Software-Seite anzuschauen. Ist aber natürlich kacke wenn die Browser sich so verhalten.
Intel hatte mal Total Memory Encryption (TME) beziehungsweise Multi-Key Total Memory Encryption (MKTME) angekündigt, aber eine CPU, die das bietet gibt es meines Wissens nach noch nicht.
Wäre mit sowas das Problem gelöst?
Es gehört ja irgendwie mehr dazu als sich nur die Software-Seite anzuschauen. Ist aber natürlich kacke wenn die Browser sich so verhalten.
Ergänzung ()
Ich kann mir auch nur das Szenario vorstellen wie jemand sein Notebook im Standby irgendwo in der Öffentlichkeit liegen lässt... man muss da schon sehr gelassen durchs Leben gehen xDleipziger1979 schrieb:
Google so:
Ist doch euer Problem, nicht unseres
Überrascht mich jetzt nicht wirklich. Aber ich bin immer davon ausgegangen, dass Daten von Prozessen per Zufallsmodus im Arbeitsspeicher abgelegt werden. Damit eben nicht ein zweites Programm die Daten auslesen kann. Und verschlüsselt sollen die auch sein. Oder wurde das doch wieder nicht implementiert?
Aber sein Leben im Browser zu speichern, muss ja echt nicht sein
Ist doch euer Problem, nicht unseres
Überrascht mich jetzt nicht wirklich. Aber ich bin immer davon ausgegangen, dass Daten von Prozessen per Zufallsmodus im Arbeitsspeicher abgelegt werden. Damit eben nicht ein zweites Programm die Daten auslesen kann. Und verschlüsselt sollen die auch sein. Oder wurde das doch wieder nicht implementiert?
Aber sein Leben im Browser zu speichern, muss ja echt nicht sein
S
Snowi
Gast
So ist es. Es lässt sich nicht vermeiden, das Passwort sollte nur nicht länger im RAM liegen als nötig, was es wohl auch nicht wird. Sonst gibt es als Entwickler nicht viel, was man machen kann. Klar, man kann es erschweren, aber man kann ja nicht täglich ein Update mit einem neuen Verfahren veröffentlichen, wo die Exploits angepasst werden müssten.Enigma schrieb:
Nein, zumindest nicht mit Memory Guard / TME. Der Zweck von den beiden ist eher den RAM.zu verschlüsseln, damit ein Host der ein virtualisiertes Betriebssystem laufen lässt nicht auf den RAM zugreifen kann, oder man nicht versucht den RAM im laufenden Betrieb elektrisch auszulesen.ZenMasterTM schrieb:
Intel hatte mal SGX, das wäre eine Alternative, wurde aber bei neueren CPUs afaik wieder eingestellt.
Würde mich auch nicht wundern, wenn man über Javascript auf die Browser-API zugreifen und die Daten ganz entspannt abschnorcheln kann. Wenn man über WebRTC sogar die interne und externe IP auslesen kann, dann läuft bei Browsern richtig was falsch. Das sind alles Dinge, die eigentlich nicht möglich sein sollten
Web-Schecki
Lieutenant
- Registriert
- Juni 2010
- Beiträge
- 988
Was bedeutet das? Dass die Browser in einer VM laufen? Das erschwert dann ja nur das Auslesen, verhindert es aber nicht, oder? Denn auch da liegen die Sachen ja irgendwo im RAM, und wenn man auf den Host Zugriff hat und den der VM zugewiesenen Speicher auslesen kann, kommt man weiterhin daran.Enigma schrieb:
Ich bin leider kein Experte, aber generell klingt das nach einem Problem auf OS-Ebene, wo die Speicherbereiche einzelnen Anwendungen gegeneinander abgesichert sein sollten. Natürlich wird man mit genügend lokalen Rechten machen können, was man will, aber da wäre ich dann in der Tat bei Googles Argumentation. ProcessHacker.exe benötigt ja sicherlich Privilegien?!
Und überhaupt: Ist nur Windows betroffen? Das wird aus der Meldung leider nicht ersichtlich.
ZenMasterTM
Lt. Junior Grade
- Registriert
- Sep. 2021
- Beiträge
- 336
Aber ist nicht genau das das Szenario, dass in dem Artikel beschrieben wird?Snowi schrieb:
netzgestaltung
Captain
- Registriert
- Jan. 2020
- Beiträge
- 3.612
nein das geht nicht so einfach bzw würde eine lücke hier sehr schnell geschlossen werden. da gabs ja schon präzedenzfälle mit der History API und es ist mit ecmascript spezifiziert.AGB-Leser schrieb:
Die „Sicherheitsforscher“ beschreiben zwar das Problem richtig, aber benennen die komplett falschen Schuldigen. Mit Chrome oder Firefox hat das nichts zu tun, sondern mit dem Sicherheitsmodell üblicher Desktop Betriebssysteme, und das sind Windows und Linux im Prinzip gleich:
Alle diese Systeme gehen davon aus, dass das “Userland“ eine vertrauenswürdige Umgebung ist. D.h. ein Prozess eines Users kann auf alle Daten des gleichen Users zugreifen. Das gilt auch für den Arbeitsspeicher von anderen Prozessen dieses Users. Unter Linux ist es sogar noch einfacher, da kann man über das /proc Filesystem einfach den Speicher jedes Prozesses auslesen. Unter Windows geht es halt mit der genannten API.
Es ist mehr oder weniger unmöglich, dieses Problem auf Anwendungsebene zu lösen.
Alle diese Systeme gehen davon aus, dass das “Userland“ eine vertrauenswürdige Umgebung ist. D.h. ein Prozess eines Users kann auf alle Daten des gleichen Users zugreifen. Das gilt auch für den Arbeitsspeicher von anderen Prozessen dieses Users. Unter Linux ist es sogar noch einfacher, da kann man über das /proc Filesystem einfach den Speicher jedes Prozesses auslesen. Unter Windows geht es halt mit der genannten API.
Es ist mehr oder weniger unmöglich, dieses Problem auf Anwendungsebene zu lösen.
Falc410
Vice Admiral
- Registriert
- Juni 2006
- Beiträge
- 6.640
KeePass muss zum ausfüllen das Passwort ebenfalls entschlüsseln und in die Zwischenablage kopieren. Dort könnte es ausgelesen werden, deswegen wird es nach wenigen Minuten wieder aus dem Speicher entfernt. Kann man konfigurieren, je nach Paranoid-Level 😁Hannibal Smith schrieb:
Lumiel
Lt. Junior Grade
- Registriert
- Aug. 2020
- Beiträge
- 416
Mich würde interessieren, wie Apple das auf ihrem Betriebssystem gelöst hat, mit Verwendung des iCloud-Schlüsselbundes und Safari. Ich kenne mich da leider gar nicht aus. Aber machen die da irgend etwas anders als der Rest? Von Safari unter Mac OS hab ich in diesem Zusammenhang bis jetzt noch nichts gelesen.
VG
VG
- Registriert
- Feb. 2012
- Beiträge
- 2.089
Der Pessimist in mir hat nur auf diese Nachricht gewartet 
Hatte mich von Anfang an gefragt wie das gehen kann, das Passwort vom Speicherplatz in Keepass oder Browser sicher in das Eingabefeld zu bekommen. Deshalb hat es mich immer gesträubt so etwas zu nutzen...
Komfortabel != Sicher
Das es auch Livedaten und Sessions im Browser betrifft ist natürlich bitter...
Ich sehe spontan aber auch eher das Betriebssystem in der Schuld, Programme brauchen einfach auch Speicher für sich allein. Wenn das OS dann alle anderen Programme hinein lässt, klingt das nach einer Tabledance Bar ohne Türsteher ^^
Andererseits kann man auch fragen, warum das nicht einfach verschlüsselt im Speicher liegt und erst im letzten Schritt vor dem Eingabefeld oder Weitergabe im HTTP Post entschlüsselt wird? Der Browser kann das doch selbst nochmal verschlüsseln, nachdem das durch den Nutzer schon mal entschlüsselt wurde.
Hatte mich von Anfang an gefragt wie das gehen kann, das Passwort vom Speicherplatz in Keepass oder Browser sicher in das Eingabefeld zu bekommen. Deshalb hat es mich immer gesträubt so etwas zu nutzen...
Komfortabel != Sicher
Das es auch Livedaten und Sessions im Browser betrifft ist natürlich bitter...
Ich sehe spontan aber auch eher das Betriebssystem in der Schuld, Programme brauchen einfach auch Speicher für sich allein. Wenn das OS dann alle anderen Programme hinein lässt, klingt das nach einer Tabledance Bar ohne Türsteher ^^
Andererseits kann man auch fragen, warum das nicht einfach verschlüsselt im Speicher liegt und erst im letzten Schritt vor dem Eingabefeld oder Weitergabe im HTTP Post entschlüsselt wird? Der Browser kann das doch selbst nochmal verschlüsseln, nachdem das durch den Nutzer schon mal entschlüsselt wurde.
MiniM3
Lt. Commander
- Registriert
- Dez. 2007
- Beiträge
- 1.314
Ich sehe das ähnlich wie Google.
Wenn jemand irgendwas auf dem Rechner installieren kann dann kann er auch einen Keylogger installieren der alles nach Hause sendet und muss erst gar nicht über den ram gehen.
Das ist höchstens für private pcs relevant die von mehreren Personen benutzt werden um private Daten zu speichern... Aber in dem Fall ist es eine Person dem man viel vertrauen entgegen bringt.
Wenn jemand irgendwas auf dem Rechner installieren kann dann kann er auch einen Keylogger installieren der alles nach Hause sendet und muss erst gar nicht über den ram gehen.
Das ist höchstens für private pcs relevant die von mehreren Personen benutzt werden um private Daten zu speichern... Aber in dem Fall ist es eine Person dem man viel vertrauen entgegen bringt.
