News & Rumors: 13. Dezember 2013,

Verschlüsselt Safari 6.0.5 für OS X 10.7.5 und 10.8.5 Passwörter nicht?

Safari
Safari

Der Antiviren- und Malware-Spezialist Kaspersky hat über ein potenzielles Sicherheitsrisiko in Apples Safari berichtet. Betroffen ist allerdings lediglich eine ältere Version 6.0.5, die für die Betriebssysteme OS X 10.7.5 und 10.8.5 zur Verfügung steht.

Session-File

Apples Safari kann seit einiger Zeit schon eine komplette „Session“ wiederherstellen, wenn bspw. der Browser unwillkürlich geschlossen wurde oder nach einem Neustart des Computers. Um entsprechende Tabs im Ur-Zustand wiederherzustellen, speichert Safari die Session-Daten in einer Datei auf der Festplatte. Diese Datei ist in einem versteckten Ordner enthalten, kann aber von Nutzern durchaus eingesehen werden.

Nun hat Kaspersky herausgefunden, dass die beiden erwähnten Versionen von Safari (und nur diese?) dieses Session-File nicht verschlüsseln. Wenn nun jemand Zugriff auf die Datei LastSession.plist bekommt, könnte er Details entnehmen, die ein hohes Sicherheitsrisiko darstellen.

Schwarzer Peter?

Tatsächlich hat Kaspersky in der Datei unverschlüsselte Login- und Passwort-Daten entdecken können. Allerdings gibt es im Netz diverse Kommentare, die Apple an dieser Stelle nur eine Teilschuld geben, wenn überhaupt. Die im Klartext lesbaren Login-Daten stünden nur in dieser Datei, heißt es, weil die entsprechenden Webseiten das Übertragen von Login und Passwort über Parameter in einer URL-Zeile vorgenommen hätten und ihrerseits weder eine Verschlüsselung wählten noch eine andere Methode, um auf die Übertragung über den URL zu verzichten. Das ist aber nicht eindeutig zu klären anhand des Screenshots, den Kaspersky bereitstellt. Denn: Zur Übertragung von Daten zwischen Client und Server gibt es zwei Verfahren, POST und GET. Beide erzeugen denselben Output, allerdings kommuniziert GET über die URL-Zeile und POST nicht. Man kann also nicht feststellen, ob die Daten nicht eventuell doch nicht über die URL-Zeile und u. U. sogar verschlüsselt über https übertragen wurden.

Apple hat bei Safari 6.1 und unter OS X 10.9 die Session-Datei wieder verschlüsselt. Wenn Webseiten-Betreiber die Login-Daten aber tatsächlich unverschlüsselt übertragen, dann könnte auch Apples Verschlüsselung der Session-Datei nicht helfen. Denn dann könnte sie über jeder Browser-Historie eingesehen werden, zu jeder Zeit, in allen Browsern.

Artikel bewerten

Ähnliche Beiträge

Smart Home schon bald mit Sprachsteuerung Mittlerweile gibt es im Haushalt fast kein Gerät mehr, das sich nicht vernetzen lässt. Die IFA hat bestätigt: Das intelligente Zuhause wird immer ausg...
iOS 10: Erstmals weiter verbreitet als sein Vorgän... Apple hat vor gut zwei Wochen iOS 10 für alle veröffentlicht. Das Update steht auf allen mobilen Geräten mit Lightning-Port zur Verfügung. Jetzt hat d...
Neue MacBook Pro sollen Ende Oktober kommen Über das MacBook Pro gibt es eine Menge Spekulationen, viele Gerüchte und auch schon ein paar Leaks. Jetzt fehlt nur noch das Gerät an sich. Wie ein n...
Keine News mehr verpassen! Unsere App für iOS und Android mit praktischer Push-Funktion.






Zuletzt kommentiert



 0 Kommentar(e) bisher


Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.


You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>