Image Image Image Image

Chrome Autovervollständigung: Ein Datenleck für Nutzer?

Chrome Autovervollständigung: Ein Datenleck für Nutzer?

Oh, Google Chrome. Auto-Vervollständigung ist ein Segen wenn der Nutzer sich mit einem Berg an Webformularen konfrontiert sieht, die er regelmäßig ausfüllen muss. Beispielsweise bei der Registrierung eines Cloud-Dienstes, der die Anschrift benötigt. Oder bei neuen Websites, die er frequentiert. Oder Webshops. Was diese Beispiele nicht gemeinsam haben: Die Notwendigkeit der Hinterlegung von Kreditkartendaten. Das ergibt natürlich nur im eCommerce-Kontext wirklich Sinn.

Leider sendet Google Chrome immer den kompletten Datensatz mit, auch wenn die Seite nur ein Formfeld anzeigt. Versteckte Formfelder werden dann mit den Zahlungsdaten populiert, auch wenn der User das nicht mitbekommt.

Somit kann ein einfaches Namensformular die komplette Anschrift und theoretisch sogar die Kreditkartennummer inklusive Gültigkeit und CSC-Prüfziffer (!) anzapfen, wenn der böse Webentwickler das so will. In meinem Test wurde die Kreditkarte aber nicht übertragen, eventuell weil Chrome der Zusammenhang zwischen den Datensätzen der Anschrift und der Kreditkarte nicht bekannt war. Ich hatte den gleichen Namen bei der Kreditkarte hinterlegt, vermutlich wird die Karte aber nur bei entsprechenden Feldern getriggert - oder meine Chrome Beta wurde diesbezüglich aktualisiert. Ich würde mich freuen von Euch zu hören, falls ihr etwas anderes feststellen könnt. Hier meine ausgelesenen Testdaten bei der Ausfüllung von lediglich einem Namensfeld:

Array
(
    [name] => Walther
    [fullname] => White
    [email] => heisenberg@weblogit.net
    [city] => Neuland
    [street-address] => weblogitstraße 13
    [postal-code] => 
    [country] => Germany
    [org] => 
    [organization-title] => Los Pollos Hermanos
    [cc-number] => 
    [cc-exp-month] => 
    [cc-exp] => 
    [cc-csc] => 
)

Wer sich dagegen wehren möchte, deaktiviert einfach die automatische Ausfüllung von Webformularen. Alternativen per Browser-Erweiterung sind davon nicht betroffen, soweit ist das Problem nur bei der nativen Funktion in Google Chrome bekannt. Yoast hat für Neugierige eine sichere HTTPS-Testseite eingerichtet, auf der man die versteckten Formularfelder mit seinen Daten ausprobieren kann.

Deaktivieren könnt ihr die Funktion in den regulären Einstellungen von Google Chrome (hier meine englische Version):

Screenshot 2013-10-27 09.51.56


Übrigens: Wenn Du keine Neuigkeiten, Produkt-Tests oder Artikel von uns verpassen willst, dann folge uns am besten auf Facebook oder Twitter.



Hier kannst Du Deine Meinung loswerden:



← Menü öffnen weblogit.net | Home