Passwörter klauen mit preventDefault()

Schon im letzten Monat hatte das Sicherheitsblog Neophasis darauf hingewiesen, dass man mit der DOM-Methode preventDefault() den Benutzern recht einfach ihre Passwörter entlocken kann.

Die Methode arbeitet in allen Browsern und verhindert, dass eine aufgrund eines Ereignisses jetzt aufzurufende Methode nicht aufgerufen wird. Auch das Standardverhalten des Browsers nach Eingabe einer Tastenkombination wie „Strg+F“ für die lokale Suche kann damit geändert werden. Das wird zum Beispiel gern genutzt, um unter der rechten Maustaste statt des Standard-Kontextmenüs des Browsers eigene Angebote zu machen.

Auf der Seite des Bloggers h43z sieht man eine Umsetzung als Beispiel, in der eine Liste von Passwörtern gezeigt wird. Wenn jemand mit „Strg+F“ die lokale Suche aufruft, um zu sehen, ob sein Passwort auch in der Liste steht, kommt ein täuschen ähnliches Fake-Suchfenster, auf das der Angreifer vollen Zugriff hat und das Passwort auslesen kann.

Über Klaus

Ich beschäftige mich schon seit 40 Jahren mit dem Internet. Meine Schwerpunkte sind Seitenerstellung, Programmierung, Analysen, Recherchen und Texte (auch Übersetzungen aus dem Englischen oder Niederländischen), Fotografie und ganz besonders die sozialen Aspekte der "Brave New World" oder in Merkel-Neusprech des "Neulands".
Dieser Beitrag wurde unter Browser, Internet, Programmierung, Sicherheit, Tipps und Tricks abgelegt und mit , , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.