Hi, ich logge mich regelmäßig auf einer Webseite mit Benutzernamen und Passwort ein. Da mir das eintippen meist zu umständlich ist, lasse ich einen cookie setzten - wenn ich nun das nächste mal die Seite aufrufe bin ich dann schon eingeloggt - soweit is ja alles klar! Wenn ich jetzt theoretisch auf eine phishing-seite stoße die vorgibt, oben genannte Webseite zu sein, wäre es doch möglich dass diese Betrugseite den cookie anfrägt, Firefox antwortet und sagt "hey ha, ich bin eingeloggt den ich hab einen cookie - schau hier!" und dieses phishingseite speichert dann dieses cookie ab - ist das möglich? dann müsste jemand doch einfach den cookie bei sich in den browser kopieren und kann sich mit meiner Identität auf dieser Webseite aufhalten, oder? Ich hab keine Ahnung ob das möglich ist - habe aber so einen Verdacht und würde nun gerne wissen ob das technisch möglich wäre!
Nur, wenn der Webbrowser einen Fehler enthält, der es möglich macht, daß die Fishing-Seite dem Browser gegenüber vorgaukeln kann, die cookiespendende Seite zu sein. Das ist leider kein rein theoretisches Problem; halte Deinen Browser mit Sicherheitsupdates aktuell, und sieh Dir einfach keine phishing-Seiten an.
ja das geht du musst nur dafür sorgen das die phishing-seite die gleiche Domaine hat. (Was recht schwer wird wenn es nicht gerade ein netzt ist, welche von dir administriert wird)
beim (aktuellen) Firefox 3.0.10 düfte dieses Problem aber nicht bestehen, oder?
cookie mit Schokolade wrote: > beim (aktuellen) Firefox 3.0.10 düfte dieses Problem aber nicht > bestehen, oder? Viele der Bugs/Sicherheitslücken, die den Cookie-Klau erlauben, sind Problem der Webseiten, und müssen von deren Webmaster repariert werden. Stichwort XSS. Da hilft erstmal nur, Javascript abzustellen, und Ausnahmen für Vertrauenswürdige(*) Seiten zu machen (->NoScript Plugin für Firefox). Beim Internet Explorer musst du zusätzlich noch das Darstellen von Bildern abschalten. *) Web-2.0-Seiten, bei denen andere User Content einstellen können, sind das nicht.
Letztenendes kann man es auch Browserunabhängig betreiben, indem irgendwo bei der Anfrage von dir "Wo ist Server www.blablubb.de?" irgendjemand irgendwie eine falsche Adresse unterjubelt. Dein Computer denkt nun "Für blablubb.de habe ich ein Cookie" und sendet es an den (falschen) Server. Um so tief ins Internet eingreifen zu können muss man allerding ein guter Hacker oder beim BKA (Die Sperre von KiPo-Seiten funktioniert so) sein.
oder im lokalen netz fähig sein ein paar "verbotene" tools und "verbotenes" wissen auszuprobieren.
Daneben kann dem Webseitenbetreiber natürlich auch die Benutzerdatenbank verlorengehen... Die einzige echte Lösung ist, in Foren, Wikis, VZs und anderem Zeug nie wirklich sensible Daten zu hinterlegen und vor allem niemals nicht ein Passwort zu verwenden, welches du auch noch für was Wichtiges benutzt.
+ bei PW eintippen immer die Tastatur verstecken damit Schäubles Webcam nix sieht?
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.