News Sicherheitslücke: Browser speichern Passwörter im Klartext im Arbeitsspeicher

[Falc410]

Ich persönlich speichere z.B. überhaupt keine PW im Browser oder sonstirgendwo auf meinen Systemen. Es ist zwar aufwändiger jedesmal die PW einzutippen, aber halt auch sichererer. Außerdem gut für's Gedächtnis

Ich schnitt nutzt jeder von uns sicher 30 verschiedene Dienste, allein Privat, Beruflich kommt wahrscheinlich nochmal die gleiche Menge dazu. Du hast überall ein eigenes Passwort mit mind. 8 Stellen, dass du dir merken kannst? Respekt!

 

[Spike S.]

Ein System was man sich überlegt hat, hilft ungemein. Ich habe etliche Buchstabengruppen, die ich immer mit verschiedenen Zahlen und Sonderzeichen kombiniere...Aber zur Sicherheit schreibe ich mir kleine Hinweise auf einen Zettel zu Hause. Was nicht so verkehrt ist, letzten Samstag an der Kasse im Supermarkt wusste ich von meiner Karten PIN plötzlich nur noch zwei Ziffern, auch die Reihenfolge war weg

Zum Thema noch ein Punkt: Wenn die Passwörter im Klartext ausgelesen werden können, schreit das doch danach, das damit entsprechende Wörterbücher gefüttert werden könnten. Solche Listen gibt es ja reichlich im Netz.

 

[DagdaMor]

Ich schnitt nutzt jeder von uns sicher 30 verschiedene Dienste, allein Privat, Beruflich kommt wahrscheinlich nochmal die gleiche Menge dazu. Du hast überall ein eigenes Passwort mit mind. 8 Stellen, dass du dir merken kannst? Respekt!

Merke mir nur die gängigsten fünf sechs Stück. Rest stehen im schlauen Büchlein, welches mein Haus nie verlässt. SO klappt das 😃

 

[MountWalker]

Also ich muss sagen, ich finds auch übertrieben für jeden "Dienst", den man irgendwo angeblich nutzt, ein wirklich sicheres Passwort zu benutzen. Also irgendwelche Leute, die auf Kuchenbackenkannich.schlagmichsahnig mal eine Rezeptbewertung abgeben wollen, können sich vielleicht wirklich egal sein lassen, ob dieses Rezeptbewertungskonto leicht hackbar ist. Das sag ich aber auch regelmäßig, wenn wieder wie jedes Jahr die Aufregernews über alle Portale getrieben wird, wie schlimm es wäre, dass schlechte Passwörter immer noch die beliebtesten seien. Man muss halt immer fragen: Die beliebtesten wofür?

 

[UniqueSpirit]

Also ich persönlich nutze für jeden Dienst/Webseite eine andere Email-Adresse und PW. Ist zwar aufwendiger aber ich mag es so :-)

 

[RAMSoße]

Geht dieser Angriff auch an einem gesetzen Master Passwort vorbei bzw. werden die Daten auch mit Master Passwort im Klartext im RAM abgelegt?

Das würde mich auch brennend interessieren. Ich kenne einige User die mit Master Pass unterwegs sind. Hast du eines hast du alle

 

[DevPandi]

Ich persönlich speichere z.B. überhaupt keine PW im Browser oder sonstirgendwo auf meinen Systemen.

Kannst du gerne so machen, habe ich lange Zeit auch so gemacht, bis es irgendwann überhand nimmt und man mit der Zeit merkt, dass die Passwörter in der Regel immer einem Muster folgen.

Ich habe lange Zeit mit einer Matrix gearbeitet, über die man sich die Passworter für die einzelnen Dienste zusammen setzten konnte. Damit hatte ich nirgendwo das gleiche Passwort und im Portmonai eine Checkkarte, auf der die Matrix ausgedruckt war.

Das funktioniert solange toll, bis die Dienste mal wieder gehackt wurden und man dann auch erfährt, dass so manccher Dienst sich selbst heute zu schade ist, die Passwörter passend zu hashen und in der Datenbank abzulegen und so mancher Dienst die Passwörter sogar noch im Klartext ablegt.

Dann muss man nämlich im Zweifle die ganze Matrix updaten oder sich einen Sondereintrag ausdenken.

Es ist zwar aufwändiger jedesmal die PW einzutippen, aber halt auch sichererer.

Nein, es ist nicht "aber halt auch sicherer", die Methode von dir hat ihre Vorteile aber ebenso auch Nachteile.

Wie hier schon richtig von jemand angemerkt wurde, wenn dein System korrumpiert wurde, dann ist es egal ob das Passwort aus einem Passwortmanager kommt oder ob du das Passwort eintippst, sobald ein Keylogger mit läuft, erfährt der Angreifer das Passwort, wenn man es im Browser oder sonst wo ein tippt.

Wenn der Hacker dir einen manipulierten Browser unterschiebt, dann kann er da Anhand von Eventsystemen das Passwort abgreifen. Passwörter werden zwar verschlüsselt (TSL/SSL) im Internet übertragen, liegen aber spätestens im Server zur Validierung wieder im Klartext vor und werden oft erst da gehasht und dann geprüft. Auch hier kann ein Angreifer also agieren.

Der einzige Vorteil, den deine Methoden mit dem schlauen Büchlein, bei mir eben die Scheckkarte, gegenüber einen Passwort-Manager hat: Der physische Zugriff. Man kommt an diese Datenbanken nicht einfach so heran, in dem man das System korrumpiert oder einen Dienst hackt, sondern man muss dich gezielt beklauen.

Gleichzeitig kann man aber auch die eigenen Passwörter im Passwortmanger mit einem entsprechend sicheren Hauptpasswort sichern und damit die Passwörter weiter schützen.

Fest steht aber, egal ob dein Buch oder der Passwortmanger: Wenn die Daten in anderen Händen sind, dann geht der Tanz los, denn man muss dann schnell reagieren und da spielt dann der Passwortmanger wieder seinen Vorteil aus: Knopfdrücken und gut ist. Der arbeitet mit einer ausreichenden Entropie und der Zufall ist gut genug. Ob du das auch hinbekommst bei all den Diensten, die du dann abarbeiten musst?

Außerdem gut für's Gedächtnis

Da gibt es aber bessere Wege um die grauen Zellen auf Trap zu halten, zum Beispiel öfters mal Kopfrechnen beim Einkauf oder mal entsprechenden Knobelspiele spielen und immer schön Wissen sammeln.

Sich Dinge zu merken ist relativ einfach, weil es einfach nur genug Wiederholungen, aber auch Anwendungen braucht. Gleichzeitig gibt es die magische Zahl 7 und da wären wir bei dem Dilemma. Deswegen rät man auch Menschen, die meinen ihre Passwörter lieber im Kopf zu haben: Statt "x-Zeichen" dann doch mit x-Wörtern hantieren, da man sich diese besser merkt und halbwegs genug Entropie bekommt. Sind dann halt 7 Wörter, wenn man darüber hinaus geht, muss man dann auf Sätze zurück greifen, damit es besser wird.

Gibt all die Techniken, die da helfen. Ändert aber nichts daran, dass unser Kopf gewisse "Limitierungen" hat, die man kennen muss, damit man sie überwinden kann, besser kaschieren. Um die Limitierungen zu kaschieren, greift man in der Regel dann auf Muster zurück und sobald man diese Muster erkennt, kann man als Entwickler*in sehr schnell auch den möglichen Raum eingrenzen, in dem jemand seine Passwörter bildet.

Ich kenne viele wie dich, die denken, dass ihr kleines Passwortbüchlein "sicherere" ist und dass schlauer sind, als die Hacker da draußen und dass keiner ihr System durch blickt.

Also ich muss sagen, ich finds auch übertrieben für jeden "Dienst", den man irgendwo angeblich nutzt, ein wirklich sicheres Passwort zu benutzen.

Wenn man einen Passwortmanger nutzt, ist es ein leichtes überall ein sicheres Passwort zu nutzen. Wenn man entsprechende Hilfsmittel ablehnt, sieht das ganze dann aber schnell anders aus.

Menschen neigen dazu nach Mustern zu handeln, damit man sich Passwörter leicht merken kann. Klar, man kann jetzt sagen, dass man für irgendwelche Plattform einfach ein leicht zu merkendes "Wegwerf-Passwort" verwendet und ansonsten sich richtig Mühe macht, aber es kann an der Stelle schon passieren, dass man einen ersten Fehler macht und einem Hacker wichtige Informationen ganz unbewusst liefert, denn auch wenn man ein "unsicheres" Passwort verwendet, muss man ggf. Daten dort hinterlegen, die weiteren Aufschluss geben und einen Angriff ermöglichen. Vor allem wenn man nicht nur einen Dienst hat mit Datne, sondern mehrere und dann anfängt Muster zu erkennen.

Deswegen ist auch diese Aussage von dir gefährlich:

Also irgendwelche Leute, die auf Kuchenbackenkannich.schlagmichsahnig mal eine Rezeptbewertung abgeben wollen, können sich vielleicht wirklich egal sein lassen, ob dieses Rezeptbewertungskonto leicht hackbar ist.

Klar, kann es ihnen egal sein, wenn die meisten Leute auch Vernünftig mit ihren Daten umgehen würden und wirklich nur bei unwichtigen Seiten mit unsicheren Passwörtern arbeiten würden und bei anderen nicht. Aber wie geschrieben: Es gibt Limitierungen im Gehirn, die man austrickens aber nicht umgehen kann.

Ebenso siegt oft die Bequemlichkeit und dann kommt halt der Glaube, dass man schlauer ist als der Computer und die Hacker. Man hinterlässt mit solchen Accounts aber Spuren und Spuren führen zu mehr Spuren und dann irgendwann zu Mustern und Muster führen dazu, dass man angreifbar wird.

Wenn die Menschen nach entsprechenden Regeln wirklich agieren würden, dann könnte man "unsichere" Passwörter für jeden Wald und Wiesen-Dienst auch verzeihen, aber die meisten Menschen agieren nicht nach den entsprechenden Reglen, die wichtig wären, sondern sie sind Sorglos und von sich noch selbst überzeugt - eine gefährliche Mischung.

Du musst dir selbst immer die Frage stellen: Welche Spuren hinterlasse ich, kann man aus den Spuren Rückschlüsse ziehen und wenn ja welche. Heute werden viele Menschen nicht mehr Stumpf durch Bruteforce oder Rainbowtables, Wörterbuchattacken und Co gehackt, sondern bevor man zu solchen Techniken greift, recherchiert man erst mal, versucht Daten zusammeln, zuverknüpfen und dann geht man auf die Leute los.

Das sag ich aber auch regelmäßig, wenn wieder wie jedes Jahr die Aufregernews über alle Portale getrieben wird, wie schlimm es wäre, dass schlechte Passwörter immer noch die beliebtesten seien. Man muss halt immer fragen: Die beliebtesten wofür?

Klar, kann man das Fragen, ist auch erst mal richtig. Manchmal steckt aber genau da dann der erste Angriffsweg auf einen selbst, ohne dass man es merkt.

 

[TomH22]

In Chrome gibt es ja so etwas wie ein Masterpasswort nicht.

Doch, nennt sich bei Chrome Passphrase. Aber die wird einmal bei der Einrichtung abgefragt (und glaube auch nur wenn man seine Passwörter mit dem Google Account synchronisiert). Die bezieht sich nicht nur auf Passwörter, sondern das gesamte Profil, also Bookmarks, usw.

Ich habe lange Zeit mit einer Matrix gearbeitet, über die man sich die Passworter für die einzelnen Dienste zusammen setzten konnte. Damit hatte ich nirgendwo das gleiche Passwort und im Portmonai eine Checkkarte, auf der die Matrix ausgedruckt war

Mir wären solche Methoden auch mit zu viel Nachdenken verbunden. Warum mit Dingen sein Gehirn belasten, die man viel besser voll automatisiert lösen kann. Zumal man heutzutage sich dich oft unterwegs von einem Mobilgerät einloggt, wo die Eingabe eines starken Passwortes über die Tastatur schon ziemliches Gefummel ist.
Und im Bereit Sicherheit gilt halt die Regel: Alles was anstrengend ist, verleitet dazu, dass man es nicht, oder zu spät tut.

Der einzige Vorteil, den deine Methoden mit dem schlauen Büchlein, bei mir eben die Scheckkarte, gegenüber einen Passwort-Manager hat: Der physische Zugriff. Man kommt an diese Datenbanken nicht einfach so heran, in dem man das System korrumpiert oder einen Dienst hackt, sondern man muss dich gezielt beklauen

Grundsätzlich stimmt das, und im häuslichen Umfeld ist tatsächlich Passwort auf Papier eine durchaus sichere Option. Das gilt aber schon nicht mehr wenn man z.B. in einer Studenten WG mit vielen Besuchern (z.B. abendliche Partys) und/oder nicht 100% vertrauenswürdigen Mitbewohnern lebt.
Und die Fälle wo sich Ehepartner gegenseitig Online Accounts hacken sind auch nicht so selten...

Bei PINs für Zahlungskarten bewegt man sich auch auf ganz dünnen Eis, ebenso bei Passwörtern für Accounts des Arbeitgebers.

Wenn die Daten in anderen Händen sind, dann geht der Tanz los, denn man muss dann schnell reagieren und da spielt dann der Passwortmanger wieder seinen Vorteil aus: Knopfdrücken und gut ist.

Genau, siehe oben.

Gibt all die Techniken, die da helfen. Ändert aber nichts daran, dass unser Kopf gewisse "Limitierungen" hat, die man kennen muss, damit man sie überwinden kann, besser kaschieren. Um die Limitierungen zu kaschieren, greift man in der Regel dann auf Muster zurück und sobald man diese Muster erkennt, kann man als Entwickler*in sehr schnell auch den möglichen Raum eingrenzen, in dem jemand seine Passwörter bildet.

Kann man gerne mal im Eigenexperiment probieren, indem man versucht "zufälliger" Passwörter mit der Tastatur zu erzeugen.
Meistens enthalten sie z.B. auf der Tastatur nebeneinander liegende Buchstabenfolgen wie "QWE", oder Sonderzeichen die nebeneinander liegen wie "$%". Wenn ich gezwungen werden, mir eine vierstellige Zahl auszudenken, wird es meist TTMM wie 1704 oder sowas. Das muss gar kein Datum sein, das eine Bedeutung für mich hat. Das Gehirn bevorzugt Muster, die im Alltag häufig vorkommen. Der Raum von vierstelligen Zahlen ist zwar groß, aber als Mensch nutzt man ihn nicht gleichmäßig. Bevor ich eben 1704 geschrieben habe, stand da eine andere Folge, die eine Zeit lang mal Bestandteil eines händisch generierten Passwortes war.

Also ich muss sagen, ich finds auch übertrieben für jeden "Dienst", den man irgendwo angeblich nutzt, ein wirklich sicheres Passwort zu benutzen. Also irgendwelche Leute, die auf Kuchenbackenkannich.schlagmichsahnig mal eine Rezeptbewertung abgeben wollen, können sich vielleicht wirklich egal sein lassen, ob dieses Rezeptbewertungskonto leicht hackbar ist.

Auf den ersten Blick ist das so. Aber wenn jemand Deinen Account kapert kann er unter Umständen Dinge tun, die dir Probleme machen.

Nur als Beispiel: Hier auf Computerbase gibt es Marktplatz. Jemand kann durchaus mit einem gehackten Account einen Betrug begehen. Wenn es zur Strafverfolgung kommt, und der Account Dir zugeordnet werden kann, dann hast Du zumindest mal die Polizei der Staatsanwaltschaft am Hals. Würde sich wahrscheinlich aufklären, aber das muss ja nicht sein.

Ein Problem ist, das man im Laufe der Zeit erhebliche Mengen an verwaisten Accounts ansammelt, die man nicht mehr auf dem Schirm hat. Das ist auch mit starken Passwörtern ein Risiko, da man vielleicht garnicht mitbekommt, das ein Account kompromittiert wurde.

 

[MountWalker]

[...] denn auch wenn man ein "unsicheres" Passwort verwendet, muss man ggf. Daten dort hinterlegen, die weiteren Aufschluss geben und einen Angriff ermöglichen. Vor allem wenn man nicht nur einen Dienst hat mit Datne, sondern mehrere und dann anfängt Muster zu erkennen.

Aber welche wären das bei Kuchenbacken.schlagmichsahning? Die Wegwerf-E-Mail-Adresse, die für die Erstellung benutzt wurde? Webwerf-Mailkonten sind seit 20 Jahren üblich und wir hatten doch hier auch vor zehn Jahren oder so im Forum mal den großen Disclaimer von CB, dass Konten, die mit Wegwerfmails erstellt wurden und zu denen das Passwort abhanden gekommen war, eben nicht eindeutig der sich nun über eine echte Mail-Adresse meldenden Person zuordnenbar sind und deshalb kein Zugriff möglich ist. Und das bringt uns eben auch zur Gefahr, die man mit diesen Managern eingeht: Wenn man diese Passwort-"Safes" nicht so sichert, dass sie auch aus dem Backup wieder hergestellt werden können, dann sperrrt man sich aus allen Konten aus, bei denen man keine Methode zum Passwortzurücksetzen hat.

Klar, kann es ihnen egal sein, wenn die meisten Leute auch Vernünftig mit ihren Daten umgehen würden und wirklich nur bei unwichtigen Seiten mit unsicheren Passwörtern arbeiten würden und bei anderen nicht. Aber wie geschrieben: Es gibt Limitierungen im Gehirn, die man austrickens aber nicht umgehen kann.

Sich auf Limitierungen einzustellen finde ich richtig, sich aber allgemein auf Limitierungen im Gehirn auszuruhen, finde ich als Kind der Aufklärung prinzipiell falsch. Ich bin beispielsweise Motorradfahrer und weiß, dass Inattentional Blindness etwas ist, worauf ich mich bei den Autofahrfern einstellen muss. Nichts desto trotz darf ich dafür sein, Leuten, die jeden Tag nur nach Autopilot fahren und nichts gegen ihre Inattentional Blindness tun wollen, den Führerschein zu entziehen, weil ich sonst an jeder Kreuzung gefahrlaufen würde, von hinten überfahren zu werden, wenn ich auf den von links kommenden warte, weil mich beide wegen Inattentional Blindness ausblenden könnten. Wenn ich ein unsicheres Passwort verwende, muss ich mir klar sein, dass das dann leicht gehackt werden kann - mit allen Folgen. Aber zu sagen, das hätte in der Welt keinen Platz, weil Menschen einfach zum Leichtsinn neigen, ist Quatsch - man muss auch Eigenverantwortung lernen und lehren, sonst nutzt der beste Passwort-Safe nichts.

Ich muss mir bei mit Geschenkbändern statt guten Schlössern gesicherten Konten bewusst machen, welche Daten ich dort einspeise, ja, aber das kann Mensch sehr wohl tun, wenn er sich anstrengt und Menschen dürfen sich anstrengen und nicht immer nur den ganzen Tag fremdbestimmer Zombie sein. In einer Demokratie ist das imho auch notwendige Bedingung eines funktionierenden Staates - sonst hätte Jason Brennan Recht.

aber die meisten Menschen agieren nicht nach den entsprechenden Reglen,

1. gilt meine Empfehlung nicht "diesen" Menschen und 2. haben genau diese Menschen kein Backup und sperren sich aus, wenn ihnen der Rechner (physisch oder durch Infektion) abraucht.

[...] Heute werden viele Menschen nicht mehr Stumpf durch Bruteforce oder Rainbowtables, Wörterbuchattacken und Co gehackt, sondern bevor man zu solchen Techniken greift, recherchiert man erst mal, versucht Daten zusammeln, zuverknüpfen und dann geht man auf die Leute los. [...]

Welche Daten sollen das denn sein? Ich habe an ein oder zwei Stellen tatsächlich Passwörter, die ich mit der alten von Prof. Willemer vor 20 Jahren empfohlenen Satzkürzenmethode baue. Jetzt kannst du gerne sagen, ja aber wenn ich die verwendete Sprache kenne, gibts doch so viele Regeln. Aber was bringen sie dir, wenn du den Satz erstmal nicht kennst? Du liest beispielsweise "awBsd,wddsEnk?nvo" Wenn du den Satz kennst, ist vieles klar und hui, du darfst sogar geschenkt davon ausgehen, dass das Komma unwahrscheinlich das erste Zeichen ist - aber wie viele Sätze muss deine Attacke durchgehen, bis du auf diesen Satz kommst? Lieblingsfilmzitat als Ursprung würdest du jetzt vielleicht aufgrund deiner "Aber-Mensch-ist-Gewohnheitstier-Annahme" sagen, und ich sage dann halt, Lieblingsfilmzitate verwenden ist so 90er.

Und bei alledem sollte man nicht vergessen, dass die wirklich abzusichernden Konten ja durchaus mit Passwortgenerator erstellt sein können - dann müsste man diese halt in einem Passwortmanager oder einem physischen Buch speichern.

 

[DPXone]

Doch, nennt sich bei Chrome Passphrase. Aber die wird einmal bei der Einrichtung abgefragt (und glaube auch nur wenn man seine Passwörter mit dem Google Account synchronisiert). Die bezieht sich nicht nur auf Passwörter, sondern das gesamte Profil, also Bookmarks, usw.

Aber das bezieht sich doch (meines Wissens nach) nur auf die Passwörter, Bookmarks, etc. auf den Google-Servern (wegen dem Sync) und nicht auf die lokalen Daten.

Ergänzung (15. Juni 2022)

Also ich persönlich nutze für jeden Dienst/Webseite eine andere Email-Adresse und PW. Ist zwar aufwendiger aber ich mag es so :-)

So mach ich es auch
Dafür hab ich das günstige Microsoft 365 Business Basic privat im Gebrauch (=mit Exchange Online).

So weiß man wenigstens immer gleich direkt, welcher Dienst/Firma schuld ist, wenn mal Spam von irgendwelchen Absendern kommt (wegen Verkauf, Leak, etc) und kann diese Empfängeradresse (=Alias) wieder entfernen/blockieren.

 

[MountWalker]

[...]
Und die Fälle wo sich Ehepartner gegenseitig Online Accounts hacken sind auch nicht so selten...

Bei PINs für Zahlungskarten bewegt man sich auch auf ganz dünnen Eis, ebenso bei Passwörtern für Accounts des Arbeitgebers.[...]

Ich habe vor über 20 Jahren mal einem Mitschüler, der sich den Spaß erlaubte, meinen Rechner zu verschandeln, weil darauf Windows98 lief und das nunmal nicht gegen solche Spaßvögel abgesichedrt werden konnte, damals auchg gesagt: Ich wähle aus, wer in meine Wohnung kommt, weil jeder, der in meine Wohnung kommt, die Fähigkeit hat, in der Küche das Steakmesser zu nehmen und mir damit den Kopf abzuschneiden. Ich habe das Steakmesser nicht mit Spezialschlüssel weggeschlossen.

[...] Nur als Beispiel: Hier auf Computerbase gibt es Marktplatz. [...]

Ein Bewertungskonto bei Kuchenbackenschlagmichtod kann a) keine Dinge verkaufen und b) hat nur der Verfassungsschutz die Möglichkeit, ein halbes Jahr lang nach der Verwendung der Wegwerfmail bei Wegwerfmail.irgendwas eine Serverdurchsuchung durchzuführen, um an die IP-Adresse zu kommen, mit der man dann nur ein halbes Jahr nach Konteneröffnung den Internetanschluss bein den Providern ermitteln kann. Wenn ich nur Dienste einschließe, die so wichtige Daten wie mein CB-Konto enthalten, komme ich bei weitem nicht auf 30.

P.S.
Ich zwinge meinen Vermieter dazu, mit mir per Telefon oder Brief zu kommunizieren und erlaube meiner Kranklenversicherung auch nicht, dass sie mir rechtsverbindliche Mitteilungen so "schicken" darf, dass ich die bei denen abhole und am Ende 30 verschiedene Briefkästen mit verschiedenen Schlüsseln habe, die ich abklappern muss, um festzustellen, wer mir da eine Mahnung geschickt hat und am Ende noch einen gelben Brief bezahlen muss, weil ich einen der 30 Briefkästen vergessen habe. Gegen dieses Vergessen hilft der Passwortmanager dann auch nicht - eine KI könnte natürlich helfen und dann könnte diese KI VR China spielen...

 

[RobZ-]

Also ich persönlich nutze für jeden Dienst/Webseite eine andere Email-Adresse und PW. Ist zwar aufwendiger aber ich mag es so :-)

Ich auch, da kommt einiges interessantes bei raus. Z.b. wenn man auf der Ebay Adresse gefälschte Rolex angeboten bekommt. Nach einer Beschwerde hats aufgehört. Nun darf man sich zusammenreimen was sowas bedeutet.

 

[cbtestarossa]

Jeder bekommt das was er verient.
In dem Fall einen Browser der dich ausspioniert und Passwörter im Klartext speichert.
Aber ok zweiteres ist eventuell auch noch in anderen Browsern so vorhanden.
Aber aktiv Nutzer ausspähen und die Platte scannen ist dann doch noch etwas anderes.
Dont be evil!

 

[TP555]

Mozilla , will es ebenfalls nicht Fixen.

https://bugzilla.mozilla.org/show_bug.cgi?id=298539

Mfg.

 

[Discovery_1]

Müsste man als potentieller Angreifer nicht direkt vor dem PC des "Opfers" sitzen? Oder würde das auch von Außen funktionieren?

 

[Miuwa]

Es muss halt ein Programm lokal ausgeführt werde. Dafür braucht der Angreifer aber keinen physischen Zugriff