![]() |
|
password2go bei car2goBei meiner Anmeldung bei car2go lief erstmal alles glatt. Die Registrierung ging schnell, der Führerschein war schnell verifiziert, so dass es nun schnell losgehen konnte. Komisch: Die car2go-App wollte mein Kennwort nicht akzeptieren. Ich generiere meine Kennwörter mit Hilfe eines Browser-Plugins, welches bisher einwandfrei funktionierte. Auf mehreren PCs funktionierte das Login bei car2go mit diesem generierten Kennwort, nur in der Android-App wollte es nicht. Das machte mich neugierig und ich fing an zu forschen. Im Firebug sieht man, dass nach Abschicken der Loginmaske ein POST-Request zu Die Ursache ist vermutlich wie folgt: Das Plugin sperrt den Zugriff auf das Input-Feld mit dem Kennwort, jedoch versucht ein Javascript von car2go, das Kennwort zu lesen und nimmt dann als Fallback für den ersten Buchstaben "A", für den 2. "B" und so weiter. Die Anzahl der Buchstaben entsprach auch der Länge meines "echten" Kennwortes. Wer sich also ein sicheres Kennwort generiert, speichert bei car2go unwissentlich ein ziemlich unsicheres auf dem Server ab. Das ist eine Sicherheitslücke und zeigt wieder mal, dass es Anwendungen grundsätzlich untersagt sein sollte, per Javascript auf Input-Felder vom Typ "password" zuzugreifen. 09.02.2017, 21:53Kommentare: |
Mobil: Diese Seite in der mobil-Version Was geht: Bier IT-News Projekte: Content-Management |