✔ Ich habe eine Sicherheitslücke entdeckt bei Formularen mit hidden input tag

[son gohan]

Hallo,

ich wusste nicht in welches Forum das am besten passt, aber ich denke PHP Leute arbeiten ja auch viel mit Formularen.

Folgendes, nehmt diese Seite:

<html>
<head>
 <title></title>
</head>
<body>

<form action = ".html" method="post">
<input type="hidden" name="passwort" value="123321">
<input type="Password" name="" value="" size="" maxlength=""> 
<input type="submit" value="schicken" name="ok" />
</form>

</body>
</html>

Öffnet sie im Internet Explorer, das hidden input Tag ist nicht zu sehen.
Jetzt geht im Browser auf bearbeiten>alles markieren>kopieren

Nun setzt ihr das kopierte bei aol in neue email schreiben rein und auf einmal sieht man das hidden Tag mit Passwort drine.

Ich habe jetzt nur das emailprogramm von aol kann aber sein das es bei anderen auch so ist und ich hab auch nur mit dem IE getestet.

Also ich finde das etwas erschreckend war das bekannt bei euch?

 

[Dennis Wronka]

Ich find ueberhaupt die Idee erschreckend ein Passwort in einem Hidden-Feld verstecken zu wollen. Denn allein durch einen Blick in den Quelltext wird dies ja bereits offenbart.

 

[g3radiochris]

No Comment

 

[son gohan]

Ich find ueberhaupt die Idee erschreckend ein Passwort in einem Hidden-Feld verstecken zu wollen. Denn allein durch einen Blick in den Quelltext wird dies ja bereits offenbart.

Wie blöd von mir das habe ich ganz vergessen.

 

[Dr Dau]

Hallo!

Ich kann mich da nur anschliessen..... wer so etwas macht, der "versteckt" seinen Haustürschlüssel sicherlich auch unter der Fussmatte.

Gruss Dr Dau

 

[MiNiMaG]

Wenn du das unterbinden willst, kannst du das Passwort crypted in das Form eintragen und beim Auswerten ausschließlich das crypted PW von dieser einen URL (Formular) akzeptieren.

So kannst du im Form ein PW vorab eintragen lassen ohne dass man es anderweitig nutzen kann und der User nicht das eigentliche PW bekommt.

 

[g3radiochris]

HeY!

Ich find es ehrlich gesagt bisschen peinlich das als Sicherheitslücke zu bezeichnen, weil es ist einfach mal keine Sicherheitslücke.
Das ja so als wenn ich meine Wohnungstür nicht Abschließe und dann zur Bild Zeitung renne und die dann groß Titelt:"Einbruch! Sie klauten mir meine ganze Einrichtung."
Wäre das ein Einbruch?

Danke und bis bald g3radiochris.

 

[MiNiMaG]

Nein, das wäre Versicherungsbetrug

 

[g3radiochris]

Nein, das wäre Versicherungsbetrug

Ja, gut an diese Variante hab ich jetzt nicht gedacht.

 

[Dr Dau]

Aber warum überhaupt das Passwort "verstecken" (egal ob nun im Klartext oder nicht), wenn man es eh im Formular eingeben soll?
Irgendwie sehe ich darin keinen wirklichen Sinn.
Bei einem Login z.b. gibt es i.d.R. 2 Eingabefelder, eins für den Benutzernamen und eins für das Passwort.
Bei einem "Passwort ändern" Formular gibt es i.d.R. auch 2 Eingabefelder, eins für das Passwort und eins zur wiederholten Eingabe (man könnte sich ja vertippt haben).

Zur unverschlossenen Wohnungstür: diese währe ausserdem eine Verleitung zu einer Straftat. (ist ernst gemeint)