nicht angemeldet
Passwörter hacken
Hallo,
hab da mal vor ein paar Tagen schon mal so ein Thema gehabt. Mir ist da noch was eingefallen.
Wenn man in Textfeldern Passwörter speichert (AutoVervollständigung im IE) werden diese ja vorgeschlagen sobald man auf so ein Passwortfeld klickt -> z. B. gibt man Benutzername bei Freemail ein und wenn das Passwort gespeichert ist, erscheint es auch. Hier hat jemand gesagt,dass es beim IE wohl in der Registrierung abgespeichert wird, bei Mozilla irgendwo in einer User Datei die verschlüsselt ist...
Okay, was ist wenn man nun einfach ein kleines PHP Script (+HTML- Formular) schreibt, dass diese Felder mit den entsprechenden Feldnamen enthält. Man könnte doch dieses Script starten und so an die Passwörter und Benutzernamen herankommen können. In PHP wird ja das als Variable eingelesen und man kann diese ja auslesen (Post, Request...).
Was meint ihr dazu? Hoffe habs verständlich dargestellt!
-
hi,
Wenn man in Textfeldern Passwörter speichert (AutoVervollständigung im IE) werden diese ja vorgeschlagen sobald man auf so ein Passwortfeld klickt
_wenn_ - aber so einen unfug macht doch niemand wirklich, oder?
für passwort-eingabefelder gibt es <input type="password">
Okay, was ist wenn man nun einfach ein kleines PHP Script (+HTML- Formular) schreibt, dass diese Felder mit den entsprechenden Feldnamen enthält.
was soll dann sein?
dass man per formular eingegebene logindaten an ein serverseitges script zur überprüfung übergibt, dürfte doch eher die regel als die ausnahme sein ...?Man könnte doch dieses Script starten und so an die Passwörter und Benutzernamen herankommen können. In PHP wird ja das als Variable eingelesen und man kann diese ja auslesen (Post, Request...).
du meinst, was wäre, wenn jemand einen browser benutzt, der logindaten speichert, und du dir dann zugriff zu diesem rechner und diesem browser verschaffst, und dein script aufrufst ...?
da würde in einem browser, der das abspeichern von passwörtern halbwegs vernünftig implementiert hat, idR. gar nichts passieren - weil der browser die passwörter natürlich abhängig von der domain oder gar der speziellen URL ablegt.
logindaten, die ich in meinem browser für http://example.com/login/loginform.htm gespeichert habe, wird dieser sicher nicht eintragen, wenn dein script _nicht_ unter der adresse http://example.com/login/loginform.htm liegt - selbst wenn es die gleichen feldnamen etc. verwenden würde.
gruß,
wahsaga--
"Look, that's why there's rules, understand? So that you _think_ before you break 'em."-
Hi wahsaga,
logindaten, die ich in meinem browser für http://example.com/login/loginform.htm gespeichert habe, wird dieser sicher nicht eintragen, wenn dein script _nicht_ unter der adresse http://example.com/login/loginform.htm liegt - selbst wenn es die gleichen feldnamen etc. verwenden würde.
Du hast Recht - so lange du mir Logindaten die Passwörter meinst, die in ein <input type="password"> kommen. Beim Firefox habe ich das Verhalten beobachtet, dass für normale _Textfelder_ die Werte von einer Domain auch auf einer anderen Domain vorgeschlagen wird, was u.U. ja auch praktisch sein kann. So kriege ich z.B. bei Web.de neben meinem eigentlichen Loginnamen auch noch meinen Loginnamen von cybton.com angezeigt.
MfG, Dennis.
--
Mein SelfCode: ie:{ fl:( br:> va:) ls:[ fo:) rl:( n4:# ss:) de:] js:| ch:{ sh:( mo:} zu:| [decode]
Das Leben ist kein Warenhaus - es nimmt nichts zurück. (Anette Louisan)-
Okay okay! War ja nur ne Frage! Möchte ja nix hacken oder so, hat mich eben nur interessiert. Danke für die Antworten!
-
hi,
Du hast Recht - so lange du mir Logindaten die Passwörter meinst, die in ein <input type="password"> kommen. Beim Firefox habe ich das Verhalten beobachtet, dass für normale _Textfelder_ die Werte von einer Domain auch auf einer anderen Domain vorgeschlagen wird, was u.U. ja auch praktisch sein kann.
ja sicher, das ist im IE ja genauso.
aber wo soll ich hier ein problem erkennen können?
wie ich schon sagte, ein halbwegs zurechnungsfähiger seitenersteller nutzt für passwortfelder nun mal _nicht_ type="text", sondern den dafür vorgesehenen.So kriege ich z.B. bei Web.de neben meinem eigentlichen Loginnamen auch noch meinen Loginnamen von cybton.com angezeigt.
ein erhöhtes sicherheitsrisiko sehe ich da aber auch nicht - schließlich ist bei solchen freemailern idR. der login-name mit dem teil vor dem @ der emailadresse identisch - wenn ich also die emailadresse kenne, kenne ich den loginnamen eh schon.
gruß,
wahsaga--
"Look, that's why there's rules, understand? So that you _think_ before you break 'em."
-
-
-
Hallo,
Man benutzt ja auch einen anständigen Browser->Firefox->Master Passwort.
Gruß, firefoxuser