Safari gibt Adressbuchdaten frei
in Uncategorized von Erich, 23. Juli 2010 - 2 Kommentare »
Im Safari 4 und 5 ist eine Einstellung zum automatischen Ausfüllen von Formulardaten, standardmäßig aktiviert. Über eine manipulierte Webseite, lässt sich mit Javascript auf das Adressbuch zugreifen und Daten auslesen, ohne das der Benutzer irgendwas machen muss.
Der Screenshot zeigt, welche Einstellungen damit gemeint sind
Es gibt sogar eine Webseite auf der man das testen kann.
http://ha.ckers.org/weird/safari_autofill.html
Jeremiah Grossman hat Apple bereits auf das Problem hingewiesen und erst ein offenes Ohr bekommen, als er es öffentlich mitgeteilt hat. Vorher hat sich Apple nicht die Mühe gemacht sich dem Problem anzueignen.
Aus Bequemlichkeit für den Benutzer, sind solche sicherheitsrisikoreichen Einstellungen aktiviert.
Wieso macht Apple das mit seinen Kunden? Wurde diese Option im Safari nicht zu Ende gedacht?
Solche Dinge schalte ich immer als erstes ab, wenn ich einen Browser konfiguriere.
Womit man wieder sieht, dass man selber alles mögliche zur Sicherung der Daten machen kann aber trotzdem keinen Einfluss darauf hat, was mit den eigenen Daten geschieht. Es muss nur ein Bekannter von Euch diese Einstellung aktiviert haben und schon steht dessen Adressbuch mit Euren Daten im Netz.