Webseiten können Windows-Zwischenablage auslesen

Dieses Thema im Forum "Netzwelt" wurde erstellt von zwa3hnn, 31. August 2005 .

Schlagworte:
  1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen
  1. #1 31. August 2005
    Anwender des Internet Explorer sollten vor dem Surfen den Inhalt der Windows-Zwischenablage löschen. Andernfalls können präparierte Webseiten unter Umständen vertrauliche Daten auslesen, die der Anwender zuvor in die Ablage kopiert hat. So bietet etwa die aktuelle Version 9.0 der Verschlüsselungs-Suite PGP Funktionen, um Daten in der Zwischenablage zu ver- und entschlüsseln, zu signieren sowie zu prüfen. Ist währenddessen eine Seite in Microsofts Browser geöffnet, kann diese ohne Warnung oder Nachfrage auf die Daten zugreifen.

    Auch zahlreiche Passwort-Manager verwenden die Zwischenablage, damit der Anwender auf einfache Weise seine Anmeldedaten in die Login-Felder einfügen kann. Lockt ein Angreifer sein Opfer etwa per Link in einer Mail anschließend auf seine Seite, kann er das Passwort auslesen. Zu welcher Seite es passt, sieht er am Referrer, also an den Browserdaten, von welcher Seite sein Opfer kommt.

    Die Lücke im Browser aus Redmond ist eigentlich nicht neu. Bereits seit dem Internet Explorer 4 ist die Interaktion mit dem Clipboard möglich, aber erst seit Version 5 standardmäßig erlaubt. Für Microsoft ist die Funktion ein Feature und kein Bug. Sie lässt sich mit wenigen Zeilen JavaScript ausnutzen. Auf den c't-Browsercheck-Seiten können Anwender mit der Demo "Auslesen der Zwischenablage" prüfen, ob auch ihr Clipboard ausgelesen werden kann.

    Um sich des Problems zu entledigen, sollten Anwender in den Sicherheitseinstellungen der Internet-Zone die Option "Einfügeoperationen über ein Skript zulassen" deaktivieren oder auf "Eingabeaufforderung" setzen.


    quelle: heise online
     

  2. Anzeige
  3. #2 1. September 2005
    habs grad gecheckt. dazu muss man aber sagen das das nur für den reinen IE geht. ich arbeite mit nem plugin aufsatz der die engine des IE nuzt. Nennt sich maxthon. und da gehts net ^^
     
  4. #3 1. September 2005
    Als ob das neu wäre :rolleyes:
     
  5. #4 1. September 2005
    da gibts auch ne abteilung fuer mozilla/opera :D
     
  6. #5 1. September 2005
    ich sach nur datenschutz ... ^^
     
  7. #6 1. September 2005
    hm ich glaub nicht das hacker oder so sich an den datenschutz halten








    *rofl* xD
     
  8. #7 1. September 2005
    OPERA 4 EVER!
     

  9. Videos zum Thema
Die Seite wird geladen...