---

Geschrieben von Raser am 23.12.2002 um 21:42:

[Bug] Vorsicht vor der Zwischenablage

Wenn man im Internet Surft sollte man nicht unbedingt Passwörter und andere sensitive Daten in der Zwischenablage speichern, denn die kann unter dem IE einfach ausgelesen werden. (Opera scheint davon nicht betroffen) Zum Testen http://web4.security-guide.de/zwisch.html

---

Geschrieben von Exekutor am 24.12.2002 um 09:51:

 

ufff... gar nicht nett.. danke für die Info!

Ciao Exe

---

Geschrieben von DJ-Paddel am 24.12.2002 um 10:53:

 

Hab es gerade geteste!!

Das doch der Hammer das sowas ghet!

Mist Microschrott!!!!!!

Danke für die Info!!!

CYA BY DJ Paddel

EDIT: Ich habe die Lösung!!!
Habe was bei heise gefunden!!!!
Hier: http://www.heise.de/ct/browsercheck/ie50anpassen1.shtml

---

Geschrieben von sQuint am 24.12.2002 um 12:02:

 

also bei mir gehts nicht (Mozillla)

---

Geschrieben von Trouble2U am 24.12.2002 um 12:43:

 

also hab ie 6.0 drauf un d zonealarm pro laufen das feld ist leer(stealth modus) sage nur null problemo*gg*

---

Geschrieben von Kalka am 24.12.2002 um 12:49:

 

die beste möglichkeit ist und bleibt IE in der Ecke zu lassen

cu Kalka

---

Geschrieben von OrByte am 24.12.2002 um 13:25:



bei mir wird auch nichts angezeigt

---

Geschrieben von LX am 24.12.2002 um 14:33:

Zitat:

Original von Trouble2U also hab ie 6.0 drauf un d zonealarm pro laufen das feld ist leer(stealth modus) sage nur null problemo*gg*

Nuja, woran es liegt kann ich net sagen, aber ich weiß dass es mit Sicherheit NICHT an ZoneAlarm liegt. Das ist eine JavaScript-Funktion, die auf dem eigenen Rechner ausgeführt wird. Da gibt's nix zu blocken und nix zu stealthen. Das Übermitteln dieser Daten würde dann ganz normal vom IE über Port 80 laufen, der ja immer offen ist.

---

Geschrieben von Trouble2U am 24.12.2002 um 15:37:

 

der ist nur für bestimmte anwendungen geöffnet sonst wird komplett abgeschottet-ach ja javascript ist selbstverständlich immer deaktiviert

---

Geschrieben von LX am 24.12.2002 um 15:59:

 

Zitat:

Original von Trouble2U der ist nur für bestimmte anwendungen geöffnet sonst wird komplett abgeschottet-ach ja javascript ist selbstverständlich immer deaktiviert

Wenn JavaScript deaktiviert ist, lag's daran. Und Port 80 wirst du dem IE doch wohl freigegeben haben, sonst könntest du dir die Seite net mal anschauen.

---

Geschrieben von Trouble2U am 24.12.2002 um 16:22:

 

...aber was nicht gescannt werden kann kann auch nicht ausgelesen werden oder???
es gibt jede menge seiten wo du dich + deinen pc scannen lassen kannst und im stealth mod von ZA werden die "offenen"ports von auserhalb ganz einfach nicht erkannt.

---

Geschrieben von LX am 24.12.2002 um 17:11:



Hat deine Zwischenablage einen eigenen Port? Da wird nix gescannt. JavaScript holt sich einfach auf deinem Rechner den Inhalt der Zwischenablage (also läuft nix über irgendwelche Ports). Die Seite mitsamt der JS-Variablen die das dann enthält kann dann über ein Formular beispielsweise ganz regulär über den IE mit Port 80 an den Server geschickt werden, so wie's auch mit Beiträgen geschieht, die du hier im Forum postest. Auch da läuft nix über irgendwelche Extra-Ports und nix wird gescannt. Genaugenommen musst du nicht mal wissen, dass es sich um ein Formular handelt und was da übermittelt wird, das lässt sich entsprechend verstecken und schon hast du eine saftige Sicherheitslücke, bei der eine Firewall rein überhaupt gar nix bringt.

---

Geschrieben von Compuholic am 24.12.2002 um 21:43:

 

Das was LX sagt stimmt soweit schon. Nur ist ist Port 80 nicht zwangsläufig offen, wenn ich den Internet Explorer starte. Der Port wird mehr oder weniger zufällig vergeben. Das kann 3964 sein oder genausogut 4135. Nur der Webserver muß auf Port 80 hören. Nachdem aber eine Verbindung auf dem Port eingeht wird die Verbindung auf einen anderen Port umgelegt. Jede bestehende Verbindung mit dem Server läuft auf einem anderen Port. Port 80 nimmt also nur die Verbindungsanfragen entgegen.

---

Geschrieben von AC!D am 24.12.2002 um 23:16:

 

boah, hört doch auf, ihr wisst doch ganz genau das eine bestimmte person im unrecht ist.

gut, und dann, ich weiß net, ob ich das glauben soll, weil das ist im grunde genau das selbe wie das man den arbeitsplatz anzeigen lassen kann, die informationen werden nicht übermittelt usw. sie werden nur dem jeweiligen benutzer angezeigt. Ich halts für unsinn, und opera usw. hat bloß wieder solche script fehler das es eben nciht richtig angezeigt wird, aber ausgelesen kann das nicht werden.


geht doch mal bitte auf www.geilehp.de/fakes.html


das ist doch alles humbug

---

Geschrieben von LX am 25.12.2002 um 01:00:



AC!D: Verstehst du's net oder willst du's net verstehen?
Das ist
1. kein Humbug
2. unabhängig von jeglicher Firewall
3. keine "fehlerhafte" Interpretation von JavaScript in anderen Browsern, sondern mal wieder ein "Feature" von Microsoft, das in keinem Standard steht.

---

Geschrieben von phlox81 am 25.12.2002 um 02:09:

 

hm, wer kommt eigentlich auf die Idee, Passwörter in
der Zwischenablage zu speichern ???

Devil

---

Geschrieben von LX am 25.12.2002 um 03:12:

---

Geschrieben von AC!D am 25.12.2002 um 08:56:

 

gut, und was machst der jenige mit dem generierten passwort? er weiß doch sowieso nciht wozu das passwort gehört, naja, ich versteh schon was du meinst lx, bloß mir kommt das so ungewöhnlich vor, wenn man sich die ganzen anderen möglichkeiten usw anschaut, ist das sehr unglaubwürdig, aber egal, kann ja wirklich sein das man das auslesen kann, bloß, bringt es dem anderen garnix, weil er nie weiß wofür das passwort ist. Ich z.b. verwende nie das selbe passwort.

also einigen wir uns darauf das es möglich ist, aber im grunde totaler schwachsinn

---

Geschrieben von 1012178 am 27.12.2002 um 21:38:

 

Das ist doch alles nur lokal, oder? Also so wie "Hier schaune sie mal: Der Inhalt ihrer Festplatte!, hoho!"

---

Geschrieben von LX am 27.12.2002 um 23:51:



Wenn's so wäre, wäre es keine Sicherheitslücke. Aber die Variable kann man nun mal für den Normaluser unbemerkt an den Server zurückschicken.