ComputerBase Menü
Aktuelles

News Sicherheitslücke: Browser speichern Passwörter im Klartext im Arbeitsspeicher

wolve666 schrieb:
Gibt genug, ich nenn sie mal DAUS, die den Dingern vertrauen. Weil ist ja bequem und man muß sein Hirn nicht einschalten.
Zum Vergrößern anklicken....
Naja dass man Passwort Manager verwenden soll sagen alle und dass speziell die im Browser integrierten nichts taugen hab ich zumindest noch nicht gehört, als wäre das Konsens die nicht verwenden zu können.
Keine Fremden in die Wohnung und eine exe installieren lassen, hilft ja schon ganz gut.
Ob Firefox das beheben kann und ob sämtliche andere Manager nicht sehr ähnliche Probleme haben, weiß ich jetzt nicht, aber sie müssen letztlich auch die Daten in Klartext irgendwie in den Browser bekommen.
 
Die meisten stellen ihren Browser schon mal "fremdfreundlich" ein. Da fängt es schon mal an. Und Passwortmanager verwenden nun ja. Wer in diesen Zeiten noch Passwörter im Browser und auf seinem PC Phone und so weiter speichert nun ja....
Ergänzung ()

SaxnPaule schrieb:
@SVΞN

;)
Zum Vergrößern anklicken....
Echt jetzt? Mir ist die Information wichtiger, als zwei Worte die SV3N nicht nach deinem Geschmack verwendet hat. Also ehrlich....
 
Marcel55 schrieb:
Wenn eine Schadsoftware die Möglichkeit hat, in den Arbeitsspeicherbereich einer anderen Software herumzuschnüffeln, dann ist es eh schon zu spät. Das eigentliche Problem liegt ganz wo anders.
Zum Vergrößern anklicken....
Das Problem ist aber, es braucht noch nicht mal direkt Schadsoftware. Schwere Bugs werden immer wieder überall gefunden. Auch Day 1 Bugs in seit Jahren laufender Programme oder Bibliotheken. Über mehrere kann man dann auch an den Arbeitsspeicher gelangen.
War nicht erst vor kurzem ein schwerer Fehler im Windows RDP gefunden worden? Oder man denke an Heartbleed im SSL.
Ein Bug steht nie für sich alleine.
 
TomH22 schrieb:
In der Regel eher nicht.
Zum Vergrößern anklicken....

Echt seltsam, wenn ein Programm auf den Arbeitsspeicher eines anderen zugreift, sollten doch alle Alarmglocken leuten... Legitime Anwendungsfälle sind ja an einer Hand abzuzählen und können vom User whitelisted werden.
 
  • Gefällt mir
Reaktionen: MountWalker
conf_t schrieb:
Betrifft "Anmeldedaten", die in Klartext im RAM abgelegt sind nun die browsereigenen Passwortmanager, oder auch die Daten, die ich manuell in einer Anmeldemaske per Hand eingebe (oder einem externen PW-Manager?).
Zum Vergrößern anklicken....
Alle Daten in den Passwortfeldern.
Aber ich sehe das Problem nicht außer jemand hat zugriff auf deinen PC und kann die entsprechende Software zum auslesen laufen lassen, wenn das aber der Fall ist hat man ganz andere Probleme.
Ergänzung ()

|SoulReaver| schrieb:
Die meisten stellen ihren Browser schon mal "fremdfreundlich" ein.
Zum Vergrößern anklicken....
Es braucht zugriff auf den PC in irgendeiner Form um das Programm zum auslesen zu nutzen. Egal was im Browser eingestellt ist.
 
Meine wichtigsten Passwörter liegen in der brain.exe. Passwörter von nicht so häufig genutzten Diensten erneuere ich immer über "Passwort vergessen", da haue ich dann irgendwas random neu rein, ist ja egal, wenn ich es in einem halben Jahr vergessen habe.
 
  • Gefällt mir
Reaktionen: Unnu, Spike S. und |SoulReaver|
Spike S. schrieb:
Auch Day 1 Bugs in seit Jahren laufender Programme oder Bibliotheken. Über mehrere kann man dann auch an den Arbeitsspeicher gelangen.
Zum Vergrößern anklicken....
und trotzdem benötigt man noch immer Zugriff auf den PC.
Ergänzung ()

Balikon schrieb:
Meine wichtigsten Passwörter liegen in der brain.exe.
Zum Vergrößern anklicken....
Deine brain.exe hatte beim lesen des Artikels vermutlich einen Absturz:D , es geht um das Passwortfeld in welches die Daten eingetippt werden. Egal ob aus dem PWM oder der brain.exe.
 
  • Gefällt mir
Reaktionen: Alphacrypt, cruse, cbmik und 2 andere
Tomsenq schrieb:
Alle Daten in den Passwortfeldern.
Aber ich sehe das Problem nicht außer jemand hat zugriff auf deinen PC und kann die entsprechende Software zum auslesen laufen lassen, wenn das aber der Fall ist hat man ganz andere Probleme.
Ergänzung ()


Es braucht zugriff auf den PC in irgendeiner Form um das Programm zum auslesen zu nutzen. Egal was im Browser eingestellt ist.
Zum Vergrößern anklicken....
Schon ja. Nur wir sind uns denke ich einig sehr viele machen sich keine Gedanken darüber, wie man so gut wie möglich einen Browser einstellt dass.... Bequehmlichkeit und man ladet sich noch einen haufen Mist und sogenannte kleine Helferlein drauf, die dann auch Tür und Tor aufmachen könnten.
 
  • Gefällt mir
Reaktionen: Bigfoot29
Die Begründung von Google finde ich schlüssig.
Aber interessant ist doch auch, dass FF das selbe "Problem" hat. Zwei unabhängige Team lösen eine Aufgabe auf ähnliche Weise, bzw hat sich keiner Gedanken gemacht, was passieren "könnte"...


BTW wie sieht es mit Passwortmanagern aus? Entweder man hat die AutoFill-In Funktion aktiviert und keypass muss die Daten auch "irgendwie" rüber in den Browser kopieren und ohne AutoFill-In läuft es eben über copy'n past und das PW landet auch im RAM (auch wenn KeyPass den Zwischenspeicher nach 3 Sek. löscht...).
 
Also in der Zeit, in der die Google-Leute diese umfangreiche Erklärung erdacht, ausformuliert und mit dem Bereichsleiter abgestimmt haben, hätten die auch einfach den Fehler flicken können!
:pcangry:

PS: Also das mit dem RAM in einzelnen Anwendugnen gegeneinander abzuschirmen ist ja mal ne super Idee. Klar ist das sicher, aber ich kann dann ja nichtmal mehr das Passwort aus dem Keepass in den Broswer kopieren...
...also ist as Betriebssystem nutzlos und man müsste für jedes Proggi ein einenes OS aufsetzen oder wo soll diese Idee jetzt genau hinführen?:freak:
 
Zuletzt bearbeitet:
Tomsenq schrieb:
Deine brain.exe hatte beim lesen des Artikels vermutlich einen Absturz:D. ...Egal ob aus dem PWM oder der brain.exe.
Zum Vergrößern anklicken....
Jupp, habe gerade neugestartet.
 
  • Gefällt mir
Reaktionen: Unnu
Ganz grundsätzlich sollten alle sensiblen Daten auch im Speicher verschlüsselt werden. Das kann man heute absichern, dass die Anwendung die auf den Speicher zugreift, entsprechend über Zertifikate den Datensatz wieder entschlüsseln kann. Ist doch das gleiche Problem wie bei den Prozessoren von Intel und zum Teil auch AMD, dass man die L-Caches auslesen konnte. Dafür wurden auch Schutzmaßnahmen ergriffen.

Am Ende ist das Thema Verschlüsslung natürlich wieder ein Leistungskiller, so dass man das Thema lange ignoriert hat.

Passwort Manager im Browser sind für mich ein no Go Feature. Dafür gibt es dedizierte Passwort Manager, die auch die Zwischenablage nach einer gewissen Zeit automatisch löschen / überschreiben und mit Autofill ist es auch nicht langsamer, als im Browser. Und ja, Sicherheit kostet derzeit Komfort und Bequemlichkeit.
 
Ich will hier natürlich die Brwoser-Hersteller nicht in Schutz nehmen, denn meiner Meinung nach sollten sensible Daten im RAM immer verschlüsselt vorliegen. Trotzdem finde ich, dass das Problem teilweise auch ein OS-Problem ist, denn:
[...]
This information can be extracted effectively by a standard (non-elevated) process running in the local machine and performing direct access to Chrome’s memory (using OpenProcess + ReadProcessMemory APIs).
[...]
Zum Vergrößern anklicken....
Das ein Prozess, der nicht vom Root/Admin (also elevated) gestartet wird auf den Speicher anderer Prozesse lesend zugreifen kann, DAS ist doch auch schon ein Problem für sich, oder sehe das nur ich so?

@SVΞN Hast du zufällig Infos dazu, ob dieses Problem prinzipiell auch in Linux auftritt?
 
  • Gefällt mir
Reaktionen: Bigfoot29
Und letztens hatten wir noch die Diskussion, wie „schlecht“ es ist das in iOS der Unterbau der Browser immer der Safari ist, Chromium wäre genauso gut.
 
Tatsächlich ist es so, habe gerade unter Windows 11 mit Edge am laufen gesucht, und meine Passwörter sind im Klartext im Speicher enthalten. Auch ohne dass ich diese irgendwie aktive genutzt habe.

Das ist mehr als unsauber und unverständlich.
Sie sollten zu jeder zeit verschlüsselt sein, außer für den kurzen Moment wenn das Passwort tatsächlich benötigt wird.

Zwar speichere ich keine Passwörter von sensible Seiten, dennoch ist das ein No-Go.
 
  • Gefällt mir
Reaktionen: Unnu
Marcel55 schrieb:
Natürlich ist sowas als Klartext in Arbeitsspeicher. Man will ja auch damit arbeiten können. Schließlich muss man das Passwort im Klartext in das Textfeld der Webseite reinschreiben. [...]
Zum Vergrößern anklicken....
Dafür gibt es in der Regel eine OS-API. Bei Windows z.B. https://docs.microsoft.com/en-us/windows/win32/api/dpapi/nf-dpapi-cryptprotectmemory

Mit dem Flag
Code: 
CRYPTPROTECTMEMORY_SAME_PROCESS
sollte also nur der Browser darauf zugreifen können. Damit muss sich niemand selbst um die Verschlüsselung bemühen und Schlüssel verwalten ;)

M@tze schrieb:
Und letztens hatten wir noch die Diskussion, wie „schlecht“ es ist das in iOS der Unterbau der Browser immer der Safari ist, Chromium wäre genauso gut.
Zum Vergrößern anklicken....
Das hat irgendwie null miteinander zu tun, oder kannst du unter iOS EXE-Dateien ausführen? ;)
 
|SoulReaver| schrieb:
Echt jetzt? Mir ist die Information wichtiger, als zwei Worte die SV3N nicht nach deinem Geschmack verwendet hat. Also ehrlich....
Zum Vergrößern anklicken....
Hat nix mit Geschmack sondern mit Grammatik zu tun.

Es ist der Teaser des Artikels, also das, was auch auf der Titelseite und im Google Index angezeigt wird.
Von daher finde ich es da schon recht wichtig. Wäre es ein Buchstabendreher mitten im Text, vollkommen egal...
 
  • Gefällt mir
Reaktionen: rosenholz, Knighty und Spike S.
TomH22 schrieb:
Alle diese Systeme gehen davon aus, dass das “Userland“ eine vertrauenswürdige Umgebung ist. D.h. ein Prozess eines Users kann auf alle Daten des gleichen Users zugreifen. [...]
Zum Vergrößern anklicken....
Ist das mit SELinux (seit 20 Jahren), AppArmor (spätestens seit 15 Jahren) oder TOMOYO (auch ca. 15-18 Jahre) auch so? Und wenn das Auslese-Tool am Ende dann doch wieder Admin-Rechte braucht, muss ich wieder ganz groß gähnen, weil ein Prozess mit Adminrechten auch einen Keylogger installieren kann.
 
  • Gefällt mir
Reaktionen: cruse und Beelzebot
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

coffee4free
News Auch auf Facebook & Gmail: Chrome-Erweiterungen können Passwörter im Klartext auslesen
2 3 4
Antworten
71
Aufrufe
7.626
tollertyp
T
EmmaL
Passwörter im Browser speichern - wie (un)sicher?
Antworten
18
Aufrufe
1.975
Blende Up
Blende Up
B
Passwörter im Browser speichern gefährlich?
Antworten
7
Aufrufe
2.301
Biedronka
B
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz