Autor: Florian
Januar 03, 2018, 11:52:18
Im zweiten Teil der Artikelserie beschäftigt sich Freedom to Tinker mit einer bekannten Schwäche von Login-Managern, die sich nun Tracking-Scripts zunutze machen.
Das geht so: Der User erlaubt dem Browser (oder auch 1Password etc.) das automatische Ausfüllen des Passwort auf Seite XY. Auf der ersten Seite ist kein böses Skript. Auf der zweiten Seite ist dann ein verstecktes Eingabefeld einer Trackingfirma und der Browser füllt auch dieses aus - das die Daten nun woanders hingehen, merkt der Browser nicht. Die übertragen dann zwar - soweit bekannt! - nur Hashes von Eamil-Adressen, aber die sind natürlich wertvolle Daten.
Als User kann man sich behelfen, indem man das automatische Ausfüllen deaktiviert.
Sehe gerade, dass in Safari ein Ausschalten des auto. Ausfüllens dazu führt, dass man dann tatsächlich einzeln reinkopieren muss. Dachte, dass ist wie bei 1P, dass man erst anklicken muss und dann auswählt.
Das geht so: Der User erlaubt dem Browser (oder auch 1Password etc.) das automatische Ausfüllen des Passwort auf Seite XY. Auf der ersten Seite ist kein böses Skript. Auf der zweiten Seite ist dann ein verstecktes Eingabefeld einer Trackingfirma und der Browser füllt auch dieses aus - das die Daten nun woanders hingehen, merkt der Browser nicht. Die übertragen dann zwar - soweit bekannt! - nur Hashes von Eamil-Adressen, aber die sind natürlich wertvolle Daten.
Als User kann man sich behelfen, indem man das automatische Ausfüllen deaktiviert.
Sehe gerade, dass in Safari ein Ausschalten des auto. Ausfüllens dazu führt, dass man dann tatsächlich einzeln reinkopieren muss. Dachte, dass ist wie bei 1P, dass man erst anklicken muss und dann auswählt.