Firefox 2.0: Sicherheitslücke im Passwortmanager

  • Der Passwortmanager des Firefox 2.0 merkt sich Benutzernamen und Passwörter von Anmeldeseiten im Internet. Besuchen Sie nun diese Anmeldeseite, dann wird die Kombination aus Benutzername und Kennwort vom Browser automatisch ausgefüllt. Sie müssen also nicht wieder alles manuell eingeben. Diese Funktion ist sehr komfortabel, erspart lästige Tipparbeit und wird dementsprechend von vielen Surfern genutzt. Dieser Mechanismus soll ein Sicherheitsleck aufweisen, so dass Angreifer über ein Cross-Site-Formular Zugangsdaten abgreifen können. Der auf https://bugzilla.mozilla.org/show_bug.cgi?id=360493 - Mozillas Bugzilla beschriebene Fehler wird bereits ausgenutzt, indem gefälschte MySpace-Seiten zur Eingabe der Anmeldedaten auffordern. Die manipulierten MySpace-Seiten senden Ihre Daten an einen Lycos-Server und die Kennwort-Funktion in Firefox 2.0 überprüft nicht, ob die Zieladresse korrekt ist. Somit können Anmeldedaten in fremde Hände gelangen. Bislang gibt es keinen Patch für Firefox 2.0, um sich vor solchen Angriffen zu schützen. Deshalb wird allen Benutzern von Firefox 2.0 empfohlen, den Passwortmanager so lange zu deaktivieren, bis ein Sicherheitspatch zur Verfügung gestellt wird. Das ist mit ein paar Klicks einfach zu bewerkstelligen: Im Menü unter "Extras" findet sich der Punkt "Einstellungen". Daraufhin im erscheinenden Fenster den Reiter "Sicherheit" auswählen und dort müssen Sie den Haken vor "Passwörter speichern" entfernen. Damit ist der Passwortmanager deaktiviert. Zusätzlich besteht die Möglichkeit, einzelne oder alle schon gespeicherten Passwörter zu löschen. Dazu müssen Sie einfach beim Reiter Sicherheit auf den Button "Passwörter anzeigen" klicken. Hier können Sie durch Auswahl eines einzelnen Eintrags diesen entfernen oder durch einen Klick auf den entsprechenden Button alle gespeicherten Passwörter gleichzeitig löschen.

  • Hi alle,
    vielen Danke, ich benutzte ihn auch, drum habe ich da gleich eine Frage, wenn ich nur auf meinen bereits eingerichteten Seiten den Manger benutze (die sind alle sicher z.B. pc-special.net), ohne eine neue hinzufügen, bin ich dann sicher, wenn ich den Bericht Richtig gelesen habe, passiert das nur bei einer neuen bösen Seite, beim Eintragen-oder kurz danach bei der bösen Seite oder reicht ein hinsurfen auf eine böse Seite schon aus?


    da Arichn