960154

Datenklau in Safari verhindern

01.12.2006 | 12:40 Uhr |

Nicht nur Firefox plaudert Zugangsdaten an Fremde aus, auch auf Safari kann man sich im Fall der Fälle nicht verlassen.

Nachdem Apple im letzten Sicherheitsupdate nicht auf die Sicherheitslücke reagiert hat, auf die die Sicherheitsfirma Secunia zum ersten Mal hingewiesen haben soll, nimmt sich nun der Softwareentwickler Hao Li dem Problem an. Mit Saft Lite 3.5 stellt er eine kostenlose Erweiterung für Safari zum Download bereit, die vor "Phischern" schützt und dafür sorgt, dass persönliche Benutzernamen und Passwörter auch weiterhin geheim bleiben.

Die Bedrohung mag nicht sehr weit verbreitet sein, dennoch ist sie real: Auf MySpace tauchten bereits vor einer Woche manipulierte Seiten auf, die Zugangsdaten einsammelten und an fremde Server schickten. Dahinter steckt ein einfacher Trick und ein Denkfehler der Entwickler: Sowohl Safari als auch Firefox greifen wieder auf den Schlüsselbund zu, wenn man eine völlig andere Unterseite der Hauptdomain öffnet, die man ursprünglich zur Eingabe benutzt hat. Hat man etwa einmal auf MySpace sein Passwort und seinen Benutzernamen angegeben, schreiben beide Browser die Informationen stets wieder in die dafür vorgesehenen Felder - auch auf den Seiten der einzelnen MySpace-Teilnehmer, wenn sie dafür angelegt wurden. Per Javascript können bösartige Seiten die Informationen auslesen, ohne dass der Anwender auch nur eine Taste gedrückt hat. Selbst nachvollziehen kann man die Sicherheitslücke anhand einer ungefährlichen Testseite , die Heise im Internet zur Verfügung stellt. Safari stellt selbst eine Möglichkeit zur Verfügung, den Sicherheitsfehler zu umschiffen: Man lässt den Browser Benutzernamen und Kennwörter nicht mehr automatisch ausfüllen. Dafür reicht es, in den Safari-Einstellungen unter Automat. ausfüllen das Häkchen vor Benutzernamen und Kennwörter zu entfernen. Wer auf den Komfort der gespeicherten Kenn- und Passwörter aber nicht verzichten will, bekommt von Hao Li Hilfe. Der Programmierer entwickelt die Safari-Erweiterung Saft , die nun in Version 8.3.7 (2,6 Megabyte) vorliegt und die Sicherheitslücke stopft. Während Saft 12 US-Dollar kostet, bekommt man die Lite-Version 3.5 (123 Kilobyte) kostenlos. Sie verzichtet auf zahlreiche Funktionen der Vollversion und beschränkt sich auf das Beheben von Sicherheitsproblemen. Wer die Erweiterung installiert hat, kann die Funktionsweise anhand der Heise-Testseite selbst überprüfen: Die fingierte Phishing-Seite kann die Informationen nicht auslesen, wenn man den Vorgang nicht vorher in einem von Saft geöffneten Pop-up bestätigt.

0 Kommentare zu diesem Artikel
960154