24C3<\/a> eintragen.<\/p>\n![](\"\/blog\/wp-content\/uploads\/2007\/11\/pentabarf2.gif\")
<\/p>\n
Ich will ja eigentlich schon seit geraumer Zeit mal was erz\u00e4hlen aber bisher habe ich weder ein ausreichend spannendes Thema noch genug Zeit gefunden, einen ansprechenden Vortrag vorzubereiten. Naja, vielleicht 2008 \ud83d\ude09<\/p>\n
Die Seite bietet in der linken Spalte einen Men\u00fcpunkt „Logout“. Das ist interessant, weil es keine triviale Methode gibt, das im Browser gespeicherte Passwort zu l\u00f6schen. Mal sehen, was passiert:<\/p>\n
![](\"\/blog\/wp-content\/uploads\/2007\/11\/pentabarf3.gif\")
<\/p>\n
Hier fangen die Probleme an. Da es keine einfache M\u00f6glichkeit gibt, den Browser das Passwort vergessen zu lassen, versucht die Seite hier einen etwas unsauberen Trick. Die einzige M\u00f6glichkeit, einen Browser das Passwort einer Domain vergessen zu lassen ist, den Browser f\u00fcr die gleiche Domain eine neue Login\/Passwort-Kombination speichern zu lassen. Daf\u00fcr richtet man \u00fcblicherweise eine spezielle Seite ein, f\u00fcr die z.B. die Kombination logout\/<kein Passwort> g\u00fcltig ist. Der Nutzer klickt auf den Logout-Link, das alte Passwort ist ung\u00fcltig und wenn der Nutzer best\u00e4tigt, wird die gespeicherte Login\/Passwort-Kombination im Browser \u00fcberschrieben.<\/p>\n
![](\"\/blog\/wp-content\/uploads\/2007\/11\/pentabarf4.gif\")
<\/p>\n
Leider kann man dabei ein paar Sachen falsch machen:<\/p>\n
Wenn der Anwender oben auf „nein“ bzw. „cancel“ klickt, \u00fcbernimmt der Browser die neuen Anmeldedaten nicht, das alte Login\/Passwort bleibt weiterhin g\u00fcltig.<\/p>\n
Die Logout-URL verwendet „logout@cccv.pentabarf.org“, Benutzername in einer URL wird jedoch vom Internet Explorer seit dem kumulativen Sicherheitsupdate f\u00fcr den Internet Explorer (832894) vom 2. Februar 2004 nicht mehr unterst\u00fctzt. Da gab es leider zu viele Phishing-Versuche und ahnungslose Nutzer sind reihenweise auf URLs wie www.postbank.de@xyz.hk reingefallen und haben ihre PINs und TANs eingegeben. Das Verfahren funktioniert mit dem Internet Explorer so folglich gar nicht.<\/p>\n
Mein Firefox (2.0.0.9) ist davon auch nicht beeindruckt, er scheint sich das alte Passwort und das neue Passwort auch gleich zu merken. Jedenfalls komme ich mit der „Back“-Taste oder einem Relogin ohne Eingabe des Passworts wieder auf die Inhalte:<\/p>\n
![](\"\/blog\/wp-content\/uploads\/2007\/11\/pentabarf5.gif\")
<\/p>\n
In meinem Firefox kann ich via Extras -> Private Daten l\u00f6schen (Strg+Umschalt+Entf) alle gespeicherten Daten l\u00f6schen, dann sind die Passw\u00f6rter auch weg. Auf meinem Arbeitsplatzrechner ist mir das eigentlich auch egal, da kommt niemand au\u00dfer mir hin. Im Internet Caf\u00e9 muss man leider dran denken, die Passw\u00f6rter niemals in den Passwort-Manager zu \u00fcbernehmen und den Browser nach dem Zugriff auf so eine Seite immer schlie\u00dfen, damit die gespeicherten Daten verloren gehen.<\/p>\n
Das ist jetzt sicher keine gef\u00e4hrliche L\u00fccke aber mit den aufkommenden Cross Site Request Forgeries (CSRF) sollte man auf solche Probleme vermehrt achten. Ach ja, ich sch\u00e4tze die Schwachstelle nicht so kritisch ein, dass ich sie vorher h\u00e4tte melden m\u00fcssen.<\/p>\n","protected":false},"excerpt":{"rendered":"
Es gibt mehrere M\u00f6glichkeiten, einen Benutzer einer Webseite zu authentisieren. Die klassischen beiden Methoden sind: HTTP Basic\/Digest Authentication Form-based Authentication mit Cookies Die meisten Webseiten verwenden heute formularbasierte Authentisierung, d.h. irgendwo in der Webseite ein Eingabeformular f\u00fcr Login und Passwort, das an ein Programm auf dem Webserver geschickt wird der die Eingabe \u00fcberpr\u00fcft und bei […]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[8,10],"tags":[],"_links":{"self":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/320"}],"collection":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/comments?post=320"}],"version-history":[{"count":0,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/320\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/media?parent=320"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/categories?post=320"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/tags?post=320"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
![](\"\/blog\/wp-content\/uploads\/2007\/11\/pentabarf1.gif\")
<\/p>\n