23.11.06
Passwort-Manager helfen beim Phishing
Die in Browsern wie Firefox und Internet Explorer 7 enthaltenen Passwort-Manager fügen gespeicherte Anmeldedaten unter Umständen auch in Phishing-Seiten ein.
Eine keineswegs rein theoretische Gefahr geht von einer mangelnden Überprüfung von Anmeldeformularen aus, in die ein Passwort-Manager automatisch gespeicherte Anmeldedate eintragen soll. Es sind bereits reale Fälle, etwa auf Myspace.com, aufgetaucht, in denen eine Phishing-Seite die gespeicherte Kombination von Benutzername und Passwort aus den Passwort-Managern von Firefox und Internet Explorer abgreifen konnte.
Das Szenario funktioniert auf Websites, wo Benutzer-generierte Web-Seiten auf derselben Domain liegen wie das echte Anmeldeformular. Dazu zählen Websites wie Myspace.com, aber auch solche von beispielsweise Universitäten. Bei letzteren gibt es nicht selten Benutzerseiten, die eine URL wie "uni-xyz.de/~username/" aufweisen. Es sollen auf diese Weise bereits Anmeldedaten von mehr als 3000 Myspace-Benutzern abgefangen und in fremde Hände gelangt sein.
Die Passwort-Manager von Firefox und Internet Explorer prüfen die Herkunft des angezeigten Formulars und das beabsichtigte Ziel der eingegebenen Anmeldedaten nur unzureichend. So prüft etwa Firefox 2.0 lediglich die Domain (also etwa "myspace.com"), nicht jedoch die genaue URL. Microsofts IE7 schaut etwas genauer hin, kann jedoch ebenfalls leicht ausgetrickst werden.
In Bugzilla, dem Fehler-Meldesystem von Mozilla, gibt es bereits eine lebhafte Diskussion, wie Firefox-Benutzer vor solchen Phishing-Versuchen geschützt werden können. Demnach ist das Problem auch bei Microsoft bereits bekannt.
Sicherheits-Updates für Firefox und Internet Explorer, die dieses Problem beseitigen, sind noch nicht in Sicht. Sie sollten daher vorsichtshalber Ihre Anmeldedaten nicht in den Passwort-Managern von Firefox und IE speichern. Aktuelle Opera-Versionen sind offenbar nicht betroffen. (fz)