Unsichere Passwortfelder

Das HTTPS Protokoll wurde dafür geschaffen sensible Nutzerdaten wie Passwörter vor Modifikation oder dritten Personen zu schützen. Webseiten mit solchen Daten sollten HTTPS benutzen um dies zu bewältigen. Ohne HTTPS ist es sehr einfach an diese Daten zu kommen. Dies wurde bewiesen von Firesheep.
 
Das Sicherheitspanel in der Firefox Webkonsole warnt den Entwickler vor solchen Sicherheitslücken. Diese drei Szenarien sind wahrscheinlich die häufigsten:
 
1. Das Loginformular über HTTP zu senden. Auch wenn die Zieladresse des Formulars HTTPS benutzt,  können Programme wie Keylogger eingeschleust werden. Beispiel:
 
Login Fields on an Insecure Page
 
2. Die Zieladresse des Formulars wird über HTTP angesprochen. Dann ist es sehr einfach Passwörter auszulesen, denn die Passwörter werden im Klartext zum Server verschickt. Beispiel:
Login fields on a form with an http:// action
 
3. Das Loginformular über ein HTTP iframe bereitstellen (oder ein HTTPS iframe in einem anderen HTTP iframe). Beispiel:
Login fields on an http:// iframe
 
Ein weiterer Aspekt, welcher allerdings nicht von der Webkonsole angezeigt werden kann, ist, dass serverseitig diese Daten nicht immer sicher gespeichert sind.
 

Schlagwörter des Dokuments und Mitwirkende

 Mitwirkende an dieser Seite: pixunil
 Zuletzt aktualisiert von: pixunil,