Hallo zusammen,

wie die Leute von Otto-JS dokumentieren, gibt es ein Sicherheitsleck bei der Verwendung der erweiterten Rechtschreibprüfung von Chrome: Viele Webseiten, auch SELFHTML, bieten Nutzern die nützliche Funktion an das eingegebene Passwort anzuzeigen, in dem das <input type="password"> in <input type="text"> umgeschaltet wird. Während Funktionen wie Autovervollständigung oder Rechtschreibprüfung bei Passworten (hoffentlich!) keinen Sinn ergeben, sieht es bei Text-Feldern schon anders aus. Beim Umschalten des type wird auf den Urspruch – dass es eigentlich ein Passwort-Feld ist – keine Rücksicht genommen.

Die erweiterte Rechtschreibprüfung von Chrome nutzt nun einen Webservice, an den der Inhalt des Textfeldes (plain in JSON) gesendet wird und in der Antwort finden sich Vorschläge. Wenn aus dem Passwort-Feld also ein Text-Feld wird und das Feature in Chrome aktiv ist, wird das eingegebene Passwort an Google gesendet.

Die Lösung ist denkbar einfach: Man kann Eingabefelder von der Rechtschreibprüfung (und Autovervollständigung) ausnehmen:

<input type="password" spellcheck="false" autocomplete="off" …>

Damit haben wir als Seitenbetreiber zumindest Kontrolle darüber, ob Nutzerdaten geleakt werden, denn die Rechtschreibprüfung im Browser können wir ansonsten nicht kontrollieren.

Und damit wären wir beim Login zum SELFHTML-Forum, welches nämlich ebenfalls davon betroffen ist:

<input class="login-password"
    id="user_password" name="user[password]"
    placeholder="Passwort"
    type="text" data-show-password="">

Viele Grüße
Robert