Wie mekrt sich der Browser zu welchem Feld ein Passwort gehört?
-
Hallo Forum,
ich bin hier in einer kleinen Firma und soll das Intranet reparieren. Mir ist folgendes aufgefallen: Ich rufe die index.php des Intranets auf und erhalte einen Loginscreen. Login und PW Felder sind leer. Nun logge ich mich in phpMySqlAdmin ein um die MySql DB zu administrieren (Login ist root, Pw hat 8 Zeichen.)
Durch einen Zufall rufe ich nochmal die Seite des Intranets auf: Nun sind da root und ein gesterntes 8 Zeichen PW. Ich vermute die Intranet "Spezialisten" haben einfach den Loginscreen von PhpMySQlAdmin geklaut und für das Intranet verwendet.Wie merkt sich der Browser die Zuordnung zwischen den Textboxen und den Inhalten?
Vielen Dank
Martin
-
Die müssen da nix geklaut haben.
Jedes Edit- und Passwordfeld hat einen Namen, der Browser merkt sich jetzt einfach, bei welchem Namen welche Einträge gemacht wurden.
Da für Login-felder typischweise für den Loginnamen auch meistens das Feld "name" und das Passwort-Feld "password" oder "pw" heißt, kann es schonmal vorkommen dass dann Dinge angezeigt werden, die man auf der Seite eigentlich noch nich eingegeben hat.
-
Könnte man so nicht Passwörter auslesen? Man erstellt zwei Textboxen und gibt sie den Namen eines Loginfeldes eines berühmten Email Providers.. und schon hat man Login und PW?
-
nein, selbstverständlich geht das nicht. für wie dumm hältst du die browser-programmierer denn?
-
Der Browser könnte sich zB die URL merken wo die Textboxen drauf sind und so das Passwortstehken verhindern.
-
Prinzipiell sind solche Angriffe möglich, man könnte z.B. in einem IFrame eine Anmeldeseite von einem E-Mail-Provider laden und per Javascript die Daten aus diesem Formular laden. Es gibt sicherlich Browser, die gegen solche Attacken anfällig sind.