Sicherheitsleck: Rechtschreibprüfung für Passworte
Robert B.
- html
- sicherheit
- zu diesem forum
0 Rolf B
Hallo zusammen,
wie die Leute von Otto-JS dokumentieren, gibt es ein Sicherheitsleck bei der Verwendung der erweiterten Rechtschreibprüfung von Chrome: Viele Webseiten, auch SELFHTML, bieten Nutzern die nützliche Funktion an das eingegebene Passwort anzuzeigen, in dem das <input type="password">
in <input type="text">
umgeschaltet wird. Während Funktionen wie Autovervollständigung oder Rechtschreibprüfung bei Passworten (hoffentlich!) keinen Sinn ergeben, sieht es bei Text-Feldern schon anders aus. Beim Umschalten des type
wird auf den Urspruch – dass es eigentlich ein Passwort-Feld ist – keine Rücksicht genommen.
Die erweiterte Rechtschreibprüfung von Chrome nutzt nun einen Webservice, an den der Inhalt des Textfeldes (plain in JSON) gesendet wird und in der Antwort finden sich Vorschläge. Wenn aus dem Passwort-Feld also ein Text-Feld wird und das Feature in Chrome aktiv ist, wird das eingegebene Passwort an Google gesendet.
Die Lösung ist denkbar einfach: Man kann Eingabefelder von der Rechtschreibprüfung (und Autovervollständigung) ausnehmen:
<input type="password" spellcheck="false" autocomplete="off" …>
Damit haben wir als Seitenbetreiber zumindest Kontrolle darüber, ob Nutzerdaten geleakt werden, denn die Rechtschreibprüfung im Browser können wir ansonsten nicht kontrollieren.
Und damit wären wir beim Login zum SELFHTML-Forum, welches nämlich ebenfalls davon betroffen ist:
<input class="login-password"
id="user_password" name="user[password]"
placeholder="Passwort"
type="text" data-show-password="">
Viele Grüße
Robert
Hallo Robert,
ich stehe dieser Funktion ohnehin ambivalent gegenüber. Viele Browser haben einen Button im Passwortfeld, der die Maskierung aufdeckt.
Allerdings weiß ich nicht, ob sich das über alle Betriebssysteme erstreckt und welche Browser das nicht können.
WinChrome hat es beispielsweise, AndroidChrome dagegen nicht.
Ich habe das mal als Issue für CForum eingetütet. Im Wiki gibt's die Funktion nicht, da hat man nur die Standard-Browserfunktion zum Aufdecken.
Rolf