Das Prinzip ist so einfach, wie effektiv: Die AutoFill-Funktionen von Safari, Chrome und anderen Chromium-Browsern versuchen einfach möglichst alle Textfelder mit den entsprechenden Informationen zu füllen. Also ein Feld namens „phone“ bekommt dann die gespeicherte Telefonnummer usw. Unschön daran ist aber, dass dies auch für versteckte Felder geschieht. Ein solches Verhalten ist von diversen SPAM-Bots auch bekannt. Das Problem an der Sache ist aber vor allem mal, dass das Problem bereits seit Jahren besteht und nur die Entwickler von Firefox das berücksichtigen. In Firefox gibt es ebenfalls eine AutoFill-Funktion, hier wird vom Nutzer aber jedes Feld einzeln gefüllt – versteckte Felder sieht der Nutzer nicht, daher kann er sie auf diese Weise auch nicht unbeabsichtigt füllen.
Safari teilt einem bei der Nutzung der Funktion zumindest noch mit, welche Informationen genutzt werden, so dass man wenigstens erkennen kann, dass hier versucht wird mehr Informationen abzugreifen, als das Formular anzeigt. Chrome dagegen füllt auch die versteckten Felder aus, ohne Information an den Nutzer, welche Daten für das gesamte Formular verwendet werden.
Auf GitHub findet sich ein aktueller Demo-Code und eine Demo-Seite, mit der man selbst ausprobieren kann, ob und wie der eigene Browser – oder entsprechende Browser-Erweiterungen, wie z.B. LastPass – mit solchen versteckten Feldern umgehen. Darauf weisen auch die Kollegen bei Heise Security hin. Worauf sie aber nicht hinweisen, ist ein Link am Ende der Beschreibung zu dieser Demo: Dort wird auf einen Blog-Beitrag von Yoast vom Oktober 2013(!) verwiesen, der bereits das Problem beschreibt und auch eine Demo dafür bereit hält.
Nun ist es sicherlich eine gute Idee, die Nutzer noch einmal daran zu erinnern, dass die Nutzung von AutoFill-Funktionen problematisch sein kann und man sich gut überlegen sollte, ob und in welcher Software man sie nutzen möchte, aber die Entwickler von Chromium/Chrome sollte man bei dieser Gelegenheit mal fragen, wie ernst sie tatsächlich die Privatsphäre und den Datenschutz ihrer Nutzer nehmen. Selbst die aktuelle Version von Chrome füllt auf der Demoseite von 2013 alle versteckten Felder aus – ohne Warnung, ohne eine vollständige Information an den Nutzer welche Daten genau ausgefüllt werden. Zwar werden weitere Informationen angezeigt, aber eben nicht alle, die für das Ausfüllen verwendet werden und die Art der Darstellung ist darauf ausgelegt verschiedene AutoFill-Profile zu unterscheiden.
Alle Anstrengungen für mehr Sicherheit im Netz durch Verschlüsselung zu sorgen, erscheinen angesichts einer solchen Einladung zum Phishing doch eher verlogen. Denn was bringt den Nutzern die Verschlüsselung, wenn über eine Browserfunktion Daten eingesammelt werden können, die der Nutzer vielleicht gar nicht übermitteln wollte? Na immerhin kommt dann nur der Seitenbetreiber an diese Daten und nicht noch zusätzlich ein weiterer Dritter, der sie nicht bekommen sollte.
Bis es hier endlich eine vernünftige Lösung für alle Browser gibt, sollte man auf die Nutzung dieser Funktion lieber verzichten. Dieser Rat gilt seit 2013, man betrachte das erneute Aufkommen des Themas also als das, was es ist: Eine Erinnerung, dass das Problem weiterhin besteht.
