Bei einigen Verhaltensweisen von Bitwardens Browser-Plug-ins zum erleichtern des Eintragens von Zugangsdaten haben die IT-Forscher von Flashpoint Sicherheitsbedenken. Der Abfluss von Zugangsdaten könnte bei ungünstigen Voreinstellungen an falsche Empfänger begünstigt werden. Bitwarden argumentiert, das sei alles dokumentiert. Flashpoint meint, dass Änderungen dennoch besser wären.

Laut den Flashpoint-Forschern behandelt Bitwarden iframes in Webseiten bislang nicht gesondert. Von beliebigen Domains kann so ein iframe stammen. Die Log-in-Daten werden durch das Auto-Fill-Plug-in von Bitwarden der einbindenden Webseite angeboten. Allgemein gilt solch ein Domain-übergreifender Zugriff als potenzielles Sicherheitsproblem. Alle Browser setzen daher entsprechende Isolierungsmechanismen um.

Sollten Nutzer die Option "Auto-fill on load", also dem Befüllen von Log-in-Feldern beim Laden der Seite, aktivieren, würde das die Situation verschlimmern. Kompromittierte oder nicht vertrauenswürdige Webseiten könnten dies zum Stehlen von Zugangsdaten missbrauchen, wie Bitwarden dokumentiert. Laut Flashpoint öffne dies jedoch einen Angriffsvektor für nicht manipulierte Webseiten.

In einem Blog-Beitrag haben die IT-Forscher von Flashpoint ihre Sicht der Dinge dargelegt.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE