Heise berichtet von einer Sicherheitslücke des Passwortmanagers von Firefox (http://www.heise.de/newsticker/meldung/81410 ) und stellt dazu auch eine Demo (http://www.heise-security.co.uk/services/browsercheck/demos/moz/pass1.shtml ) bereit.

Ich habe die Demo mal mit Safari getestet... leider scheint auch Safari hier anfällig zu sein! Daher muss man wohl -- bis zu einem Bugfix -- hier vorsichtig sein und evtl. schon gespeicherte Zugangsdaten aus Safaris Cache entfernen!

Bei mir tritt das Problem mit Safari nicht auf !

@alfrank: Ich habe den Test gerade wiederholt. Ich bin mir sicher, dass die Demo (leider) auch unter Safari funktioniert.
Hast Du JavaScript ausgeschaltet? -- das wäre vermutlich eine Möglichkeit.

Nein, aber bei mir hat Safari noch nie Paßwörter gespeichert, das will ich auch gar nicht !
Wahrscheinlich wegen des fehlenden Häkchens hier:

Na, da war ich ja mal wieder gut beraten, den FF grundsätzlich keine sensitiven Inhalte zu verraten. Dem Ding traue ich nämlich nicht über den Weg

Daß sich der Safari aber genauso dümmlich anstellt ist ärgerlich amp;

@alfrank: Na großartig, Meister. Wenn Du den Passwortmanager deaktivierst, ist klar, dass keine Probleme damit auftreten. Am besten Du schließt Deinen ausgeschalteten Rechner jetzt in einen Tresor, dann hast Du bestimmt keine Probleme und kannst in jedem Sicherheitsforum prahlen. (sick)

bei camino gibt es keine probleme

"Due to a lack of checking, a second, evil page on the same server could steal those saved passwords."

Also müsste jemand nicht nur den Server (z.B. meiner Bank) kapern, er müsste auch eine Seite erstellen, die mein Passwort in der gleichen Weise abfrägt?
Wenn das das Problem ist brauche ich keinen neuen Browser sondern eine neue Bank.

ich verwende die 1.0.3 aber vielleicht war ich zu blöd für den test

@jogoto: Prinzipiell hast Du natürlich recht. Leider ist es aber immer wieder möglich, in Foren oder ähnlichen Seiten, die von Benutzern eingegebene Inhalte darstellen, JavaScript- und HTML-Code einzuschleusen. Das ist natürlich eine Schwäche der Serversoftware, die diese Dinge nicht herausfiltert. Das Problem ist nun aber, dass hier ein Angreifer automatisch Deine Nutzerdaten phishen kann. Dazu muss es nur ein Formular einschleusen, dass der Browser als dann mit Username und Passwort versieht, und über ein JavaScript das (ausgefüllte) Formular an eine beliebige Seite senden lassen.
So gab es etwa bei eBay entsprechende Sicherheitslücken, wobei dort noch der Benutzer selbst alles eingetragen hat. Mit dieser Lücke ist es aber möglich, dass Du einfach nur ein Angebot bei eBay ansiehst und der Angreifer bereit damit deine eBay-Nutzerdaten phishen kann. Wobei ich glaube, dass eBay die Lücke geschlossen hat, das nur als Beispiel.
Das in manchen Seiten sogar über URL-Parameter beliebige Fremdseiten eingebettet werden, ist m.E. keine Sicherheitslücke, sondern grobe Fahrlässigkeit. Aber das festzustellen hilft ja leider auch nichts.

Wobei man dazusagen muß, daß das für alle automatisch eingetragenen Werte in Formularen gilt, oder? Also nicht nur Paßwort/Benutzername lassen sich damit abgreifen - was wohl am interessantesten ist -, aber auch wenn man andere Formularfelder automatisch ausfüllen läßt, wie Anschrift, Name, etc.

Ach ja, OW 5.5.1 ist auch nicht besser und schwätzt alles aus amp;

Ich verstehe ja wirklich nicht, warum die Browser die Daten nicht anhand der (echten) URL speichern, zu der die Daten gesendet werden. Evtl. funktioniert dann die Speicherung nicht, wenn JavaScript verwendet wird (und die URL der Action daher zunächst ein JavaScript ist), aber es wäre wenigstens sicher.

jannes64<br>Welche Version benutzt du? Bei mir hat es (leider) funktioniert (Version 2006112104 (1.1a1+)).