Chrome speichert Passwörter im Speicher im Klartext ...

M

mcb

Well-known member
Registriert
18 März 2009
Beiträge
4.535
Chrome/Chromium/Edge das neue Flash ...

Chrome speichert Passwörter im Speicher im Klartext | Borns IT- und Windows-Blog:
www.borncity.com

Chrome speichert Passwörter im Speicher im Klartext

[English]Das ist ist schon ein dickes Ei, auf das Sicherheitsforscher der CyberArk Labs beim Google Chrome-Browser gestoßen sind. Dieser speichert Passwörter und Cookies im Klartext im Arbeitsspeicher des eigenen Prozesses. Das bedeutet, ein entsprechendes Tool könnte diese Klartext-Passwörter...
www.borncity.com
 
Was ist die Alternative? Du kannst ja schwer das Passwort verschlüsseln, denn was sendest du dann der Webseite zum Anmelden?
 
Ich denke das Problem ist eher das es möglich ist alle Passwörter gleichzeitig in den RAM zu laden - damit musst du nicht mal wissen für welche Seite das Passwort gespeichert ist und der Angriff ist sehr einfach. Zudem scheint das Passwort nach Benutzung auch nicht wieder aus dem RAM entfernt zu werden - auch das halte ich nicht für sinnvoll. Bei Session Cookies lässt sich das sicherlich nicht vollständig vermeiden - aber auch dort könnte man die tatsächliche unverschlüsselte Verfügbarkeit deutlich reduzieren.
 
schoerg schrieb:
Das natürlich nicht, meinte das allgemeine Problem.
Zum Vergrößern anklicken....
Dort wird auch klar, was die eigentliche Frage in diesem Kontext ist:
Kann ein unprivilegierter User A einen Memory-Dump eines Prozesses eines anderen Users B erlangen?

Das wiederum ist eine Frage an das Betriebssystem, nicht an die Anwendung.
 
hikaru schrieb:
Dort wird auch klar, was die eigentliche Frage in diesem Kontext ist:
Kann ein unprivilegierter User A einen Memory-Dump eines Prozesses eines anderen Users B erlangen?

Das wiederum ist eine Frage an das Betriebssystem, nicht an die Anwendung.
Zum Vergrößern anklicken....
Ganz richtig. Das betrifft im Prinzip auch jeden anderen Prozess, auf den ein lokaler Angreifer Zugriff erlangen könnte.
Der Bugzilla-Report ist immerhin 17 Jahre alt, der Fehler als "kritisch" eingestuft, und der Thread mit "RESOLVED WONTFIX" geschlossen. (Ein interessantes Detail ist, dass alle 3, 4 Jahre erneut ein solcher Fehler "aufgedeckt" wird, der faktisch ein Duplikat ist dieses "RESOLVED WONTFIX"-Fehlers.)
Hier handelt es sich tatsächlich um ein Problem, das weder Mozilla noch Google (bzw. deren Derivate-Entwickler) lösen können. Immerhin adressiert die Abschottung von Zugriffsrechten einzelner Nutzer (Sandboxing oder, im Linux-Kontext, zusätzlich App-Armor-Profile) diese Problematik, ohne dass der Nutzungskomfort merklich eingeschränkt wird. Unter BSD hat man einen anderen Schluss gezogen: Firefox wird standardmäßig als gefährlicher Prozess klassifiziert, und man muss eigens Berechtigungen erteilen, wenn man Firefox trotzdem einsetzen will.

Allein mit technischen Lösungen werden solche Szenarien immer unbefriedigend (prinzipiell unsicher) bleiben. Die Art der Nutzung (oder auch: Nicht-Nutzung) digitaler Geräte spielt hier die entscheidende Rolle ...
 
Moin, ja da bin ich "reingefallen":

Ich hatten den Artikel so verstanden, das Webseiten alle Paßwörter in Chromium und Co nachladen können.
 
Bestimmt nicht der einzige Grund seine Passwörter anders zu verwalten. Es sollte einem ohnehin zu denken geben, wenn man über einen Dritten erzählt bekommen muss, wie mit den eigenen Passwörtern umgegangen wird. Ich finde KeePassXC ist eine gute Alternative.
 
schoerg schrieb:
Was ist die Alternative? Du kannst ja schwer das Passwort verschlüsseln, denn was sendest du dann der Webseite zum Anmelden?
Zum Vergrößern anklicken....
Als ich in der Richtung noch geforscht habe war man gerade dabei zu evaluieren, ob man die Passwörter aus einem Passwortsafe direkt im CPU-Register ablegen kann, ohne sie in den RAM zu legen. Das erschwert den Zugriff natürlich ungemein und ist nochmal deutlich flüchtiger, als der RAM. Keine Ahnung, was daraus geworden ist.

hikaru schrieb:
Dort wird auch klar, was die eigentliche Frage in diesem Kontext ist:
Kann ein unprivilegierter User A einen Memory-Dump eines Prozesses eines anderen Users B erlangen?

Das wiederum ist eine Frage an das Betriebssystem, nicht an die Anwendung.
Zum Vergrößern anklicken....
Wenn man physikalischen Zugriff hat hat man nochmal deutlich andere Probleme. Die sind dann völlig unabhängig vom OS sind, weil man den RAM "einfach" einfrieren kann.

Zum gesamten würde ich eigentlich denken, dass das TPM genau dazu dienen sollte, sensible Informationen verschlüsselt in unsicheren Bereichen abzulegen. Der Schlüssel liegt dann ja nicht im RAM, sondern im TPM und es wird nur bei Bedarf entschlüsselt. Sitze ich da einer falschen Annahme auf? (Ich habe mich nie wirklich um TPM gekümmert, muss ich zugeben)
 
Korfox schrieb:
Zum gesamten würde ich eigentlich denken, dass das TPM genau dazu dienen sollte, sensible Informationen verschlüsselt in unsicheren Bereichen abzulegen. Der Schlüssel liegt dann ja nicht im RAM, sondern im TPM und es wird nur bei Bedarf entschlüsselt. Sitze ich da einer falschen Annahme auf?
Zum Vergrößern anklicken....
Das Problem an TPM ist, dass es eine Black Box ist. Die Spezifikation ist zwar offen, aber was das konkrete Modul in deinem Rechner tatsächlich macht, steht nicht unter deiner Kontrolle.

Oder um einen Satz aus dem Wikipedia-Artikel zu zitieren:
Eine solche „vertrauenswürdige Plattform“ kann nicht mehr entgegen den Interessen des Herstellers genutzt werden, sofern dieser Beschränkungen festgelegt hat.
Zum Vergrößern anklicken....
Hervorhebung von mir. Finde den Fehler! ;)
 
@hikaru
Ist natürlich bekannt. Allerdings immernoch lieber etwas proprietäre, als garkeine Sicherheit, oder?
Man verlässt sich ja auch auf die integrierten Bremssysteme seines Autos, obwohl sie proprietär sind.
Zumal es hier ja nur darum geht, dass Passwörter im RAM verschlüsselt abgelegt werden (ich habe die Passwörter ja schon zuvor meinem Browserentwickler anvertraut, der durchaus auch nicht überall transparent sein muss...).
Grundaätzlich sehe ich da jetzt aber kein Kriterium, dass es nicht funktionieren würde, ein TPM zu suchen und (ggf auf Wunsch) zu nutzen.
 
schoerg schrieb:
Was ist die Alternative? Du kannst ja schwer das Passwort verschlüsseln, denn was sendest du dann der Webseite zum Anmelden?
Zum Vergrößern anklicken....
Klar, Passwortmanager schützen ihren Speicher und geben nur das Passwort entschlüsselt frei, welches für die aktuelle Homepage genutzt wird - sofern man das explizit freigegeben hat und eine automatische Ausfüllhilfe benutzt. Noch sicherer, aber weniger komfortabel, ist die Variante, bei der die Passwörter manuell aus dem Passwortmanager rauskopiert werden. Dann liegt das Passwort nur während der Zeit in der Zwischenablage, ansonsten nur verschlüsselt im RAM - und die Zwischenablage wird nach ein paar Sekunden automatisch wieder geleert.
KeePass bietet dann auch noch eine Zwei-Kanal-Ausfüllhilfe an. Dann wird das Passwort nur zur Hälfte über die Zwischenablage und zur anderen Hälfte über simulierte Tastatureingaben übertragen. Nochmal eine Ecke sicherer.
Und alles besser, als einfach alle Passwörter unverschlüsselt im RAM vorzuhalten.
 
Korfox schrieb:
Allerdings immernoch lieber etwas proprietäre, als garkeine Sicherheit, oder?
Zum Vergrößern anklicken....
Kann proprietäre (=nicht nachvollziehbare) "Sicherheit" überhaupt sicher sein?
"Überweise mir all dein Geld! Ich bewahre es sicher für dich auf. Versprochen! - Wie, Nachweis? Nö, mach ich nicht." ;)

Korfox schrieb:
Man verlässt sich ja auch auf die integrierten Bremssysteme seines Autos, obwohl sie proprietär sind.
Zum Vergrößern anklicken....
Weil man mangels Alternativen keine Wahl hat - und daher vermutlich noch nicht mal darüber nachgedacht hat, dass es auch anders sein könnte. Ein vollständig OSHW-konformes Auto - das wäre doch mal was!

Korfox schrieb:
Zumal es hier ja nur darum geht, dass Passwörter im RAM verschlüsselt abgelegt werden [..]
Zum Vergrößern anklicken....
Mit einem Algorithmus den du nicht kennst. Laut Spezifikation ist es SHA1. Stimmt das tatsächlich? Und falls ja: Ist der sauber implementiert?

Korfox schrieb:
ich habe die Passwörter ja schon zuvor meinem Browserentwickler anvertraut, der durchaus auch nicht überall transparent sein muss...).
Zum Vergrößern anklicken....
Dann solltest du den Browser wechseln!

Ich verwende z.B. grundsätzlich keine Chromium-basierten Browser, denn der Quellcode ist zwar formal offen, wird aber oft in "komprimierter Form" verteilt. Das ist compilierbar, aber nicht menschenlesbar. Keiner kann überprüfen, was der Code aus dem das Binary compiliert wird, tatsächlich tut.
Nun kann ich ein wenig programmieren und Code lesen, aber zu behaupten, ich könnte z.B. den Firefox-Code auch nur ansatzweise verstehen, wäre völlig vermessen. Ich glaube sogar, moderne Full-Feature-Browser sind so komplex, dass kein einzelner Mensch deren Code vollständig verstehen kann.
Ich habe aber z.B. aus Kontakten mit den jeweiligen Maintainern bei Debian das Gefühl, dass Firefox dort vergleichsweise gut gewartet wird, während das bei Chromium nicht der Fall ist. Ein wohliges Bauchgefühl ist leider recht wenig, um darauf sicherheitsrelevante Entscheidungen zu begründen. Aber mehr habe ich leider nicht vorzuweisen.
 
Irgendwo und irgendwann steht das PW immer unverschlüsselt auf dem PC herum (Speicher, nicht DASD/HD), hoffentlich nur sehr kurz, mal ganz banal ausgedrückt. Mich ärgern immer mehr Anbieter, die eine EMail-Id als User-Id verlangen. Eine "verkorkste" User-Id wäre ein weiterer Schutz, aber ..... paßt hier nicht und ist OT.

Mich würde der von @xxxx erwähnte "Der Bugzilla-Report ist immerhin 17 Jahre alt, der Fehler als "kritisch" eingestuft, und der Thread mit "RESOLVED WONTFIX" geschlossen." zum Nachlesen interessieren. Geht eine Link hier oder per PN ??

Ich hatte beruflich im Mainframe-Service genügend Passwörter im System-Dump oder Trace, wenn es Verbindungs/Login Probleme gab. Diese Tatsache holt mich nicht sonderlich vom Hocker.

Gruß Peter
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben