VR-NetKey und PIN bereits vorgegeben

 
Mate
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Ammerbuch
Beiträge: 263
Dabei seit: 07 / 2004
Betreff:

VR-NetKey und PIN bereits vorgegeben

 ·  Gepostet: 15.08.2007 - 08:57 Uhr  ·  #1
Guten Morgen!

Bei uns tritt seit gestern ein Problem auf.
Wenn sich unsere Kunden (Volksbank bei Fiducia Stuttgart) übers InternetBanking anmelden wollen, klicken Sie in das Feld für den VR-NetKey und schreiben den ersten Buchstaben rein. Dann wird automatisch der komplette VR-NetKey und die PIN (als Sterne) reingeschrieben. Einer von den drei Kunden, die wir bisher haben, hat ein Update übers Firmennetzwerk gemacht.
Hat von euch jemand eine Ahnung, woran das liegen könnte? Ist ja von der Sicherheit nicht unbedingt praktisch;-))

Viele Grüße
Mate
TEO
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 265
Dabei seit: 05 / 2005
Betreff:

Re: VR-NetKey und PIN bereits vorgegeben

 ·  Gepostet: 15.08.2007 - 09:43 Uhr  ·  #2
Das sind Browsereinstellungen. Nennt sich Autovervollständigen. Meines Wissen kann man die Grundeinstellung, dass dies bei https:// Seiten nicht funktioniert im IE unter Internet-Optionen Erweiter und im Firefox per manueller Konfiguration umgehen. Somit merkt und schreibt der Browser auch bei geschützen Seiten die Eingaben.
Mate
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Ammerbuch
Beiträge: 263
Dabei seit: 07 / 2004
Betreff:

Re: VR-NetKey und PIN bereits vorgegeben

 ·  Gepostet: 15.08.2007 - 09:59 Uhr  ·  #3
Hallo TEO,

okay, über die Internet-Optionen kann man diese gespeicherten Passwörter dann auch wieder "rausschmeißen". Mich interessiert nur, warum das auf einmal seit gestern so ist. Das war ja bisher nicht der Fall.
Kam da ein Update des IE oder liegt es an der Internetbanking-Anwendung?

Viele Grüße
Mate
TEO
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 265
Dabei seit: 05 / 2005
Betreff:

Re: VR-NetKey und PIN bereits vorgegeben

 ·  Gepostet: 15.08.2007 - 12:28 Uhr  ·  #4
Also bei uns ist es so, daß hin und wieder (für alle Rechner am Netz) updates vom Rechenzentrum verteilt werden. Die setzen dann auch für alle einhgeitlich die Einstellungen. Eventuell ist ja soetwas der Auslöser gewesen. An der eBanking-Anwendung ist meines Wissens nichts geschraubt worden.

Änderungen an der eBanking-Anwendung sollten, so denke ich, allerdings unabhängig davon sein, was der Browser in die Formularfelder schreiben kann oder nicht. Ist ja normales HTML. Lediglich über Java-Script könnte man soetwas unterbinden. Allerdings ist in der neuen eBanking Version z.B. sie Java-Script-Sperre für das Kontextmenü (rechte Maustaste) auch nicht mehr eingebaut (weil es eigentlich Unsinn war). Über die Tastatursteuerung hat man auch alle Infos in das eBanking-Fenster rein oder heraus bekommen wo man wollte. XSS verhindert man nur richtig durch Plausibiltäsprüfungen der eingegebenen Werte und vorheriges Festlegen der maximalen Zeichen innerhalt eines Feldes. Werden diese Werte nicht geprüft oder sind sie zu lang, kann man Skripte einschleusen die dann ausgefuehrt werden.
Captain FRAG
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Westfalen
Beiträge: 5096
Dabei seit: 05 / 2003
Betreff:

Re: VR-NetKey und PIN bereits vorgegeben

 ·  Gepostet: 15.08.2007 - 12:51 Uhr  ·  #5
Hm, eventuell kann die Online-Anwendung schon ein Mitauslöser sein.

Man kann per HTML-Tag dem Browser das Speichern verbieten kann. Die Frage ist nur, ob ein solches Tag früher vorhanden war und nun eventuell nicht mehr da ist.

Bei uns steht das z.B. in den Eigenschaften des Formulars drin, das Tag heisst: autocomplete="off"

Egal was ich im IE oder FF einstelle, es wird nie gespeichert oder auch nur danach gefragt.

Scheinbar ist das aber nix ganz offizielles, wird aber durchaus von vielen Browsern berücksichtigt.

Nähere Info:
http://aktuell.de.selfhtml.org/artikel/html/autocomplete/

und mit dem Wissen dann mal den Seitenquelltext absuchen und die Jungs und Mädels im RZ damit nerven.
TEO
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 265
Dabei seit: 05 / 2005
Betreff:

Re: VR-NetKey und PIN bereits vorgegeben

 ·  Gepostet: 21.08.2007 - 16:14 Uhr  ·  #6
Ah okay. Es ist allerdings nicht W3C-konform und daher kenne ich das Attribut auch nicht. Wenn es allerdings funktioniert ist das schoen. Nur bekommt man so eventuell Fehler im Browser oder Validator angezeigt, was für Webentwickler sehr unschoen ist, da es von 'Unfaehigkeit' zeugt ^^
Captain FRAG
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Westfalen
Beiträge: 5096
Dabei seit: 05 / 2003
Betreff:

Re: VR-NetKey und PIN bereits vorgegeben

 ·  Gepostet: 21.08.2007 - 17:48 Uhr  ·  #7
Ja, typisches Theorie<->Praxis Problem.
Die W3C Konformität ist zwar schön, der zumindest teilweise erreichte höhere Nutzen durch gesteigert Sicherheit die andere Seite. Ein System lebt vom ganzen, nicht nur aus den Eigenschaften von Einzelteilen.
Mate
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Ammerbuch
Beiträge: 263
Dabei seit: 07 / 2004
Betreff:

Re: VR-NetKey und PIN bereits vorgegeben

 ·  Gepostet: 23.08.2007 - 09:07 Uhr  ·  #8
Guten Morgen!

Nur zu Info: unsere Rechenzentrale hat wohl etwas umgestellt, dadurch wurden die Zugangsdaten gespeichert. Sollte aber mittlerweile wieder umgestellt worden sein!

Viele Grüße
Mate
Gewählte Zitate für Mehrfachzitierung:   0