Abonnieren
![Blitz [Illustration]](http://www.lisardo.biz/images/news/biltz.gif "Blitz [Illustration]"){kind=small}
In den letzten Tagen ist schon öfter auf ein Sicherheitsleck von Safari hingewiesen worden. Safari plaudert offensichtlich unter bestimmten Bedingungen die gespeicherten Passwörter aus! Wer das testen will, kann das auf einer ungefährlichen Testseite bei Heise ausprobieren. Es handelt sich in der Tat um eine erhebliche Sicherheitslücke, allerdings kann sie nur unter bestimmten Bedingungen ausgenutzt werden. Es gibt auch bereits Lösungen für das Problem.
Die Sicherheitslücke besteht darin, dass nach dem Speichern eines Passwortes in den Schlüsselbund Safari diese Passwörter immer automatisch in die Login- und Passwortfelder einfüllt, sobald man die Seite erneut aufruft. Allerdings eben leider nicht nur bei der gleichen Seite, sondern auch bei anderen Seiten, die unter der gleichen Domain laufen. Das ist prinzipiell für die Anwender sehr bequem: wenn sich zum Beispiel die URL der Loginseiten geringfügig ändert, oder wenn man während einer Sitzung nochmals einloggen muss, schreibt Safari die Passwörter ebenfalls automatisch in die vorgesehenen Felder.
Normalerweise ist das kein Problem: Immerhin muss die Seite immer unter der gleichen Domain laufen – und wenn ich auf einer Domain einmal ein Passwort eingebe, warum nicht auch auf einer anderen Seite der gleichen Domain. Allerdings wird es dann zum Problem, wenn unter dieser Domain Webseiten von verschiedenen Benutzern laufen, wie zum Beispiel in Communities wie MySpace. Dann füllt Safari ebenfalls auf allen Webseiten die Passwortfelder aus, die unter dieser Domain laufen. Jetzt könnte ein böswilliges Community-Mitglied einfach eine Webseite anlegen, die diese Passwörtfelder enthält und mit Hilfe eines JavaScripts die automatisch eingegebenen Passwörter abfangen. Somit kann zum Beispiel ein Website-Inhaber von MySpace einfach alle Login-Passwörter von anderen MySpace-Anwendern sammeln, sobald diese mit Safari (oder Firefox) seine Webseite besuchen.
Zusammengefasst ist das Problem so lange völlig unschädlich, solange sich unter der jeweiligen Domain nur ein einziger Internetauftritt befindet. Sobald sich jedoch mehrere Internetauftritte eine Domain teilen (wie bei Communities üblich), dann haben wir ein echtes Problem.
Die einfachste Lösung besteht darin, in Safari das automatische Ausfüllen einfach auszuschalten: Menü Ablage – Einstellungen – Autom. ausfüllen. Dort die Benutzernamen und Kennwörter abwählen. Diese Lösung ist allerdings unbequem, da in Zukunft alle Passwörter manuell eingegeben werden müssen.
Bequemer ist die Lösung von haoli.dnsalias.com. Hao Li, der Entwickler der Safari-Erweiterung Saft, bietet jetzt eine kostenlose Lite-Version an (Saft Lite v3.5.0), eigens um dieses Problem zu fixen. Sobald diese Erweiterung installiert ist, erhält man in Fall von abweichenden URLs vor dem automatischen Ausfüllen der Felder einen Warnhinweis. Erst wenn dieser bestätigt wird, schreibt Safari die Passwörter tatsächlich in die Felder.
Und wenn Sie schon dabei sind: testen Sie auch das kostenpflichtige Saft-Plugin. Es erweitert Safari um viele Features, die ich längst nicht mehr missen mag: Blocken von Werbebanner, Stoppen von Animationen, Speichern von Browserfenstern mit allen Tabs und vieles mehr.
Von Peter am 02.12 um 18:29 Uhr. Kategorie: Mac-OS-X
Trackback-URL: http://www.lisardo.biz/trackback/616/BBiSEjHo/