1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Was will Safari von meinem Schlüsselbund?

Dieses Thema im Forum "Browser" wurde erstellt von rfunk, 18.02.08.

  1. rfunk

    rfunk Gast

    Hallo,

    Ich habe neulich absichtlich mein Schlüsselbund-Passwort abweichend von meinem Anmeldepasswort gesetzt, weil ich mal sehen wollte, wer wann und was überhaupt auf den Schlüsselbund zugreift.

    Meistens sind die Anfragen durchaus nachvollziehbar, aber beim "ziellosen surfen" mit Safari kommt es immer mal wieder vor, dass auf Seiten, auf denen ich definitiv noch niemals vorher war, der Schlüsselbund angezapft werden soll.

    Das wirft für mich folgende Fragen auf:
    (1) Wie kann ich rausfinden, was die Seite abfragen möchte? In der Anfrage wird mir nur mitgeteilt, dass "Safari" gerne auf "login.keychain" zugreifen will.
    (2) Wie entscheidet der Schlüsselbund überhaupt, wem er was gibt? Ich hatte eigentlich gedacht, dass gerade beim Surfen der Schlüsselbund höchstens dazu benutzt wird, um für mich irgendwelche Eingabemasken auszufüllen (die ich dann noch bestätigen muss), nicht aber, dass er ohne mein Zutun irgendwelche obskuren Anfragen aus dem Internet beantwortet
    (3) Ich kenne mich mit Zertifikaten nicht aus - kann es sein, dass auf diese zugegriffen werden soll? Wäre es in diesem Zusammenhang z.B. gerechtfertigt, dass eine Schlüsselbund-Anfrage beim Aufrufen von apfeltalk kommt (kam vorhin wiederholt)?

    Würde mich über Aufklärung freuen!

    rfunk
     
  2. arc

    arc Leipziger Reinette

    Dabei seit:
    18.10.05
    Beiträge:
    1.787
    Ich vermute sobald ein Login auf einer Seite angeboten wird, oder Du unter das HTTPS-Protokoll gerätst, wird Safari standardmäßig nach bereits gespeicherten Logindaten für eine solche Seite suchen - im zweiten Falle ggf. nach irgendwelchen Zertifikaten. Beides ist im Schlüsselbunf hinterlegt. Daher sicher die Nachfrage.
     
  3. rfunk

    rfunk Gast

    HTTPS zumindest nicht sichtbar, aber es kann ja glaube ich sein, dass einzelne Elemente auf einer Seite (z.B. Werbung) separat über https kommt.

    An Eingabefelder habe ich auch gedacht, allerdings trat es auch schon auf Seiten ganz ohne solche auf. Außerdem gibt meines Wissens gibt der Schlüsselbund auch in geschlossenem Zustand bereitwillig Auskunft zu gespeicherten Daten _außer_ den Kennwörtern, d.h. er müsste ohne Passwort in der Lage sein, festzustellen ob eine Seite "Anfrageberechtigt" ist (und dies ggf. verneinen)

    Festgestellt habe ich das hier:

    http://www.heise-online.co.uk/security/services/browsercheck/demos/moz/pass1.shtml

    Eine Seite, die einem zeigen soll, dass der Passwort-Manager von Firefox unter bestimmten Bedingungen ausgetrickst werden kann. Mit Safari/Schlüsselbund hat das bei geöffnetem Schlüsselbund auch geklappt. Mit geschlossenem Schlüsselbund (bei der folgenden Abfrage) hat die Seite dagegen nur den Loginnamen ausgespuckt - den hat sie also wohl bekommen.

    Ich werde mich wohl doch mal mit Zertifikaten beschäftigen müssen...
     

Diese Seite empfehlen