Googlepassworte demaskieren

...oder Warum Javascript böse ist...

Die Passwort- Sternchen in irgendwelchen Loginformularen kennen wir alle. Aber was nützen all die Sternchen, wenn man mit einer Zeile in die Adressbar, hier bei Google, das Passwort im Klartext angezeigt bekommt?

Einfach ins Adressfeld und Enter:
javascript:alert(document.getElementById("gaia_loginform").Passwd.value);

Sinnigerweise sollte Javascript auch im Browser aktiviert sein.

(Wer keinen Googleaccount hat und es trotzdem testen will, gibt halt irgendwelchen Unsinn in das Passwortfeld ein.)

· Del.icio.us · ReTweet! · Mr Wong · Google Buzz ·

Gespeichert unter:

Google

Schon gelesen?

· Das ist alles manipuliert! · Irgendwie fehlt da doch was · Google ist dein Freund

Da wurde 4 x wat jesacht zu “Googlepassworte demaskieren” »»

pascal

Getippselt von pascal am 16.09.06 um 16:07

was ist daran jetzt so Googlespezifisch? Das geht doch überall...
Richtig saublöd ist es allerdings, wenn im Einstellungsformular im "Passwort ändern"-Feld das alte Passwort vom Server mitgeschickt wird (man muss nur in den Code schauen,...) Macht mein Mailserver so. War allerdings schon mal praktisch.
missi

Getippselt von missi am 16.09.06 um 16:17

Das Javascript oben ist googlespezifisch. Es ist halt schon irgendwo traurig, wenn man die Weltherrschaft übernehmen möchte und dann ständig solch kleinen Sachen übersieht.
pascal

Getippselt von pascal am 16.09.06 um 16:52

Naja, aber was sollen sie denn dagegen tun?
Eigentlich ist es ja die Schuld des Browsers. Denn:

For the "password" input type, the actual value returned may be masked to prevent unauthorized use.

Da war wohl jemand zu faul was richtig zu implementieren...
oli

Getippselt von oli am 16.09.06 um 17:24

Nun wenn ich etwas über ein Medium anbiete, habe ich auch die initiale Verantwortung in puncto Datensicherheit. Ansonsten spielt man halt nicht omnipotente Datenkrake.

Ick will mal wat sagen... »»

Fuliginous - smoky or sooty place