Die Mozilla Foundation warnt vor dem Passwort-Manager in ihrem Browser Firefox 2.0. Die Funktion hat die unangenehme Eigenschaft, unter bestimmten Voraussetzungen abgespeicherte Nutzernamen und Passwörter an andere Anwender zu verraten. Die Firefox-Entwickler empfehlen, den Passwort-Manager vorerst nicht mehr zu verwenden, bis ein entsprechendes Update verfügbar ist.

Automatisierung birgt Tücken
Mit Hilfe des Passwort-Managers ist es Firefox-Nutzern möglich, sämtliche Nutzernamen und Passwörter für Webseiten oder Online-Bezahlverfahren an einer zentralen Stelle des Browsers abzulegen. Trifft Firefox auf entsprechende Formularfelder auf einer Webseite, die zu denen im Passwort-Manager verzeichneten gehören, füllt der Browser die Eingabefelder automatisch aus. Soweit, so praktisch – und doch gefährlich.

Firefox schaut nicht richtig hin

Das Problem dabei: Firefox vergleicht lediglich die Adresse der aufgerufenen Webseite mit den gespeicherten Informationen im Passwort-Manager. Woher die angezeigten Eingabefelder stammen, ist dem Browser egal. Bettet ein Angreifer also in den Rahmen einer Webseite eine selbstgefertigte Passwort-Abfrage ein, wandern die Daten an den Hacker und nicht an den Anmelde-Server der echten Webseite. Von dieser Problematik sind vornehmlich Webseiten betroffen, die es ihren Nutzern erlauben, eigene HTML-Inhalte online zu stellen – Weblogs und große Community-Seiten.

Quelle (http://oncomputer.t-online.de/c/96/89/62/9689620,si=0.html)