• Folge Uns
    • Facebook
    • Twitter
    • Youtube
    • Flipboard
  • ENG
Mobilegeeks
  • Videos
  • Cars
  • Connected Life
  • IoT
  • Smartphones
  • Hardware
  • Tests
  • Podcast
  • Videos
  • Cars
  • Connected Life
  • IoT
  • Smartphones
  • Hardware
  • Tests
  • Podcast
Powered By GDATA
Powered By GDATA
Previous Story
Nintendo Switch: Livestream der Präsentation

von Carsten Drees

Next Story
WhatsApp: Verschlüsselung dank Backdoor wertlos

von Carsten Dobschat

Browser-AutoFill simpel ausgetrickst – immer noch

Benutzt man die praktische AutoFill-Funktion in Safari, Browsern auf Chromium-Basis oder von einigen Browser-Erweiterungen, dann ist es möglich, dass man auf dem Weg deutlich mehr Informationen an den Betreiber einer Seite weitergibt, als man dachte oder möchte. Neu ist das Problem nicht, aber zumindest in Chrome weiterhin komplett ungelöst.

von Carsten Dobschat am 13. Januar 2017
  • Email
  • @dobschat

Das Prinzip ist so einfach, wie effektiv: Die AutoFill-Funktionen von Safari, Chrome und anderen Chromium-Browsern versuchen einfach möglichst alle Textfelder mit den entsprechenden Informationen zu füllen. Also ein Feld namens „phone“ bekommt dann die gespeicherte Telefonnummer usw. Unschön daran ist aber, dass dies auch für versteckte Felder geschieht. Ein solches Verhalten ist von diversen SPAM-Bots auch bekannt. Das Problem an der Sache ist aber vor allem mal, dass das Problem bereits seit Jahren besteht und nur die Entwickler von Firefox das berücksichtigen. In Firefox gibt es ebenfalls eine AutoFill-Funktion, hier wird vom Nutzer aber jedes Feld einzeln gefüllt – versteckte Felder sieht der Nutzer nicht, daher kann er sie auf diese Weise auch nicht unbeabsichtigt füllen.

Safari teilt einem bei der Nutzung der Funktion zumindest noch mit, welche Informationen genutzt werden, so dass man wenigstens erkennen kann, dass hier versucht wird mehr Informationen abzugreifen, als das Formular anzeigt. Chrome dagegen füllt auch die versteckten Felder aus, ohne Information an den Nutzer, welche Daten für das gesamte Formular verwendet werden.

Auf GitHub findet sich ein aktueller Demo-Code und eine Demo-Seite, mit der man selbst ausprobieren kann, ob und wie der eigene Browser – oder entsprechende Browser-Erweiterungen, wie z.B. LastPass – mit solchen versteckten Feldern umgehen. Darauf weisen auch die Kollegen bei Heise Security hin. Worauf sie aber nicht hinweisen, ist ein Link am Ende der Beschreibung zu dieser Demo: Dort wird auf einen Blog-Beitrag von Yoast vom Oktober 2013(!) verwiesen, der bereits das Problem beschreibt und auch eine Demo dafür bereit hält.

Nun ist es sicherlich eine gute Idee, die Nutzer noch einmal daran zu erinnern, dass die Nutzung von AutoFill-Funktionen problematisch sein kann und man sich gut überlegen sollte, ob und in welcher Software man sie nutzen möchte, aber die Entwickler von Chromium/Chrome sollte man bei dieser Gelegenheit mal fragen, wie ernst sie tatsächlich die Privatsphäre und den Datenschutz ihrer Nutzer nehmen. Selbst die aktuelle Version von Chrome füllt auf der Demoseite von 2013 alle versteckten Felder aus – ohne Warnung, ohne eine vollständige Information an den Nutzer welche Daten genau ausgefüllt werden. Zwar werden weitere Informationen angezeigt, aber eben nicht alle, die für das Ausfüllen verwendet werden und die Art der Darstellung ist darauf ausgelegt verschiedene AutoFill-Profile  zu unterscheiden.

Alle Anstrengungen für mehr Sicherheit im Netz durch Verschlüsselung zu sorgen, erscheinen angesichts einer solchen Einladung zum Phishing doch eher verlogen. Denn was bringt den Nutzern die Verschlüsselung, wenn über eine Browserfunktion Daten eingesammelt werden können, die der Nutzer vielleicht gar nicht übermitteln wollte? Na immerhin kommt dann nur der Seitenbetreiber an diese Daten und nicht noch zusätzlich ein weiterer Dritter, der sie nicht bekommen sollte.

Bis es hier endlich eine vernünftige Lösung für alle Browser gibt, sollte man auf die Nutzung dieser Funktion lieber verzichten. Dieser Rat gilt seit 2013, man betrachte das erneute Aufkommen des Themas also als das, was es ist: Eine Erinnerung, dass das Problem weiterhin besteht.

Heiss diskutiert
Was die Biden-Regierung für Elektrofahrzeuge bedeutet
von Nicole
Was die Biden-Regierung für Elektrofahrzeuge bedeutet
Der boomende Greentech-Sektor – dieses Mal ist es anders
von Nicole
Der boomende Greentech-Sektor – dieses Mal ist es anders
Audi e-tron GT – Vorsprung durch Solidität und Preis
von Mark Kreuzer
Audi e-tron GT – Vorsprung durch Solidität und Preis
Warum sind Auto-Abos nicht beliebter?
von Nicole
Warum sind Auto-Abos nicht beliebter?
Related Video
video
Microsoft Family Safety – Kindersicherung jetzt auch von Microsoft
Wie sicher sind sichere Passwörter?
Datenschutz Security
Ähnliche Artikel
Standortdienste: Diese Informationen verrät euer Smartphone über euch
23. Februar 2021
Standortdienste: Diese Informationen verrät euer Smartphone über euch
Die besten Passwort-Manager für 2021
14. Februar 2021
Die besten Passwort-Manager für 2021
Global Privacy Control möchte bald das bessere “Do Not Track” werden
2. Februar 2021
Global Privacy Control möchte bald das bessere “Do Not Track” werden
Google will Drittanbietercookies durch Browserverlauf-Analyse abschaffen
29. Januar 2021
Google will Drittanbietercookies durch Browserverlauf-Analyse abschaffen
Neueste Tests
8.7
Insgesamt bekommt man für den Preis wirklich gut funktionierendes und zuverlässiges Sicherheitssyste ...
Smartes Sicherheits-Set – Egardia und Philips Hue im Test
2. Juli 2018
Smartes Sicherheits-Set – Egardia und Philips Hue im Test
9.1
Für den persönlichen Gebrauch ist Lima Ultra eine hervorragende Lösung, um jederzeit Zugriff auf die ...
Lima Ultra – persönlicher Cloud-Speicher im Test
6. März 2017
Lima Ultra – persönlicher Cloud-Speicher im Test

Fernweh

Wir beschäftigen uns mit den Themen und der Technik von Morgen und Übermorgen - Von Smartcities über Sharing-Economy bishin zur Mobilität der Zukunft

Heiss diskutiert
Was die Biden-Regierung für Elektrofahrzeuge bedeutet
von Nicole
Was die Biden-Regierung für Elektrofahrzeuge bedeutet
Der boomende Greentech-Sektor – dieses Mal ist es anders
von Nicole
Der boomende Greentech-Sektor – dieses Mal ist es anders
Audi e-tron GT – Vorsprung durch Solidität und Preis
von Mark Kreuzer
Audi e-tron GT – Vorsprung durch Solidität und Preis
Warum sind Auto-Abos nicht beliebter?
von Nicole
Warum sind Auto-Abos nicht beliebter?
Hubs
  • Laptops
  • Magazin
  • Smart Cars
  • Smartphone
  • Tablets
  • Wearables
Weitere Themen
  • OnePlus 5
  • Samsung Galaxy S8
  • LG G6
  • Microsoft Surface Laptop
  • Amazon Blitzangebote
  • Adblock Plus
  • Testberichte (Archiv)
  • ASUS
  • Microsoft
  • Apple
  • Sitemap
Intern
  • Sponsoring und Werbung
  • Über uns
  • Sponsorenübersicht
  • Impressum
  • Datenschutzerklärung
FOLGE UNS
Copyright © 2021 Mobilegeeks.de, Alle Rechte vorbehalten