mikrocontroller.net

Forum: PC Hard- und Software cookie ausspionieren?


Autor: cookie mit Schokolade (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Hi,
ich logge mich regelmäßig auf einer Webseite mit Benutzernamen und 
Passwort ein. Da mir das eintippen meist zu umständlich ist, lasse ich 
einen cookie setzten - wenn ich nun das nächste mal die Seite aufrufe 
bin ich dann schon eingeloggt - soweit is ja alles klar!


Wenn ich jetzt theoretisch auf eine phishing-seite stoße die vorgibt, 
oben genannte Webseite zu sein, wäre es doch möglich dass diese 
Betrugseite den cookie anfrägt, Firefox antwortet und sagt "hey ha, ich 
bin eingeloggt den ich hab einen cookie - schau hier!" und dieses 
phishingseite speichert dann dieses cookie ab - ist das möglich?

dann müsste jemand doch einfach den cookie bei sich in den browser 
kopieren und kann sich mit meiner Identität auf dieser Webseite 
aufhalten, oder?

Ich hab keine Ahnung ob das möglich ist - habe aber so einen Verdacht 
und würde nun gerne wissen ob das technisch möglich wäre!

Autor: Rufus Τ. Firefly (rufus) (Moderator) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Nur, wenn der Webbrowser einen Fehler enthält, der es möglich macht, daß 
die Fishing-Seite dem Browser gegenüber vorgaukeln kann, die 
cookiespendende Seite zu sein.

Das ist leider kein rein theoretisches Problem; halte Deinen Browser mit 
Sicherheitsupdates aktuell, und sieh Dir einfach keine phishing-Seiten 
an.

Autor: Peter (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
ja das geht du musst nur dafür sorgen das die phishing-seite die gleiche 
Domaine hat. (Was recht schwer wird wenn es nicht gerade ein netzt ist, 
welche von dir administriert wird)

Autor: cookie mit Schokolade (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
beim (aktuellen) Firefox 3.0.10 düfte dieses Problem aber nicht 
bestehen, oder?

Autor: Εrnst B✶ (ernst)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
cookie mit Schokolade wrote:
> beim (aktuellen) Firefox 3.0.10 düfte dieses Problem aber nicht
> bestehen, oder?

Viele der Bugs/Sicherheitslücken, die den Cookie-Klau erlauben, sind 
Problem der Webseiten, und müssen von deren Webmaster repariert werden. 
Stichwort XSS.

Da hilft erstmal nur, Javascript abzustellen, und Ausnahmen für 
Vertrauenswürdige(*) Seiten zu machen (->NoScript Plugin für Firefox).
Beim Internet Explorer musst du zusätzlich noch das Darstellen von 
Bildern abschalten.

*) Web-2.0-Seiten, bei denen andere User Content einstellen können, sind 
das nicht.

Autor: Reinhard S. (rezz)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Letztenendes kann man es auch Browserunabhängig betreiben, indem 
irgendwo bei der Anfrage von dir "Wo ist Server www.blablubb.de?" 
irgendjemand irgendwie eine falsche Adresse unterjubelt.

Dein Computer denkt nun "Für blablubb.de habe ich ein Cookie" und sendet 
es an den (falschen) Server.

Um so tief ins Internet eingreifen zu können muss man allerding ein 
guter Hacker oder beim BKA (Die Sperre von KiPo-Seiten funktioniert so) 
sein.

Autor: zwieblum (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
oder im lokalen netz fähig sein ein paar "verbotene" tools und 
"verbotenes" wissen auszuprobieren.

Autor: der mechatroniker (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Daneben kann dem Webseitenbetreiber natürlich auch die Benutzerdatenbank 
verlorengehen...

Die einzige echte Lösung ist, in Foren, Wikis, VZs und anderem Zeug nie 
wirklich sensible Daten zu hinterlegen und vor allem niemals nicht ein 
Passwort zu verwenden, welches du auch noch für was Wichtiges benutzt.

Autor: kleine Umleitung (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
+ bei PW eintippen immer die Tastatur verstecken damit Schäubles Webcam 
nix sieht?

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [avrasm]AVR-Assembler-Code[/avrasm]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.
Hinweis: der ursprüngliche Beitrag ist mehr als 6 Monate alt.
Bitte hier nur auf die ursprüngliche Frage antworten,
für neue Fragen einen neuen Beitrag erstellen.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.