Herzlichen Glückwunsch, dann sollten vorsichtshalber alle Passwörter neu gesetzt werden. Sowohl Google Chrome, als auch Microsoft Edge mitsamt Editor petzen Passwörter wenn drei Bedingungen zutreffen:
- Die erweiterte Rechtschreibprüfung ist aktiviert.
- Der Benutzer klickt bei Eingabe auf “Passwort zeigen”.
- Die Website verhindert nicht aktiv eine Rechtschreibprüfung.
Die automatische Rechtschreibprüfung übermittelt in diesem Falle das vermeintlich falsch erkannte Wort ungefragt an die entsprechenden Google- und Microsoft-Services. Auch jeder Man-in-the-Middle Angreifer, der gezielt den Traffic zu diesen Diensten überwacht, gelangt so an die im Klartext übermittelten Passwörter. Ob diese systemseitig noch in Dateien oder an andere Orte gelangen bleibt unklar. Weitere Infos gibt es auf der Website des Finders.1
Verhindern lässt sich das nur durch Ausschalten der “erweiterten Rechtschreibprüfung”. Website-Anbieter können durch Setzen von “spellcheck=false” in HTML-Formularfeldern derartige Leaks verhindern.
Meiner persönlichen Meinung nach ist es am Besten, Chrome und Edge zu meiden, die Anzahl von Plugins gering zu halten und auf Komfortfunktionen mit Datenübermittlungen an Dritte zu verzichten. Anwender im administrativen Kontext nutzen besser Open-Source Systeme.
Software ist grundsätzlich fehlerbehaftet. Sicherheitslöcher gibt es auch in freien Browsern und Systemen. Im Gegensatz zu den proprietären Blackboxen ist deren Funktionsweise aber transparent. Viele offenen Projekte beherzigen die Prinzipien des Peer-Reviews und Security by Design und schaffen Evidenz, wo proprietäre Software nur das Prinzip Hoffnung und Security through obscurity2 bietet.