Schon im letzten Monat hatte das Sicherheitsblog Neophasis darauf hingewiesen, dass man mit der DOM-Methode preventDefault() den Benutzern recht einfach ihre Passwörter entlocken kann.
Die Methode arbeitet in allen Browsern und verhindert, dass eine aufgrund eines Ereignisses jetzt aufzurufende Methode nicht aufgerufen wird. Auch das Standardverhalten des Browsers nach Eingabe einer Tastenkombination wie “Strg+F” für die lokale Suche kann damit geändert werden. Das wird zum Beispiel gern genutzt, um unter der rechten Maustaste statt des Standard-Kontextmenüs des Browsers eigene Angebote zu machen.
Auf der Seite des Bloggers h43z sieht man eine Umsetzung als Beispiel, in der eine Liste von Passwörtern gezeigt wird. Wenn jemand mit “Strg+F” die lokale Suche aufruft, um zu sehen, ob sein Passwort auch in der Liste steht, kommt ein täuschen ähnliches Fake-Suchfenster, auf das der Angreifer vollen Zugriff hat und das Passwort auslesen kann.