Ein wunderbarer Artikel (bzw. ein
Rant) über die nicht enden wollende "Hilfsbereitschaft" mancher Webseitenbetreiber, die mittlerweile massiv in Bevormundung ausartet:
Stop Being Helpful.
Es ist ein bekanntes Problem, dass Browser Formulareinträge und Passwörter aus Gründen der Benutzerfreundlichkeit speichern können
müssen, dies bei wirklich sensiblen Daten, wie der Onlinebanking-PIN, aber nicht immer
sollten...
Ebenso bekannt ist, dass fortgeschrittene Benutzer nicht mit Funktionen für dumme Benutzer gegängelt werden wollen. Gute Software stellt beiden Benutzergruppen angemessene Einstellungen zur Verfügung, in der Regel wird dem Fortgeschrittenen anfangs etwas mehr Gebastel abverlangt.
Bisher wird jedoch nicht normalen Websites und solchen unterschieden, bei denen eine zusätzliche Abfrage erforderlich wäre, um unerfahrene Benutzer zu schützen. Manch dummer Benutzer erledigt seine Bankgeschäfte im Urlaub vom Webcafe aus und stellt dort nicht mal die Speicherfunktion ab.
Eifrige Webseitenbetreiber denken sich daher Methoden aus, mit denen sie die die Speicherfunktion überlisten können. Doch das lässt sich nicht umgehen und verärgert Fortgeschrittene. Ein typisches Beispiel für selbsternannte "Sicherheitsexperten" und wie diese möglicherweise am Problem vorbei hacken.
Blogger cranky erklärt es genauer:
Now, since each of these sites required various levels of "added security" involving me typing in a password with both upper and lower case letters, a number, one or more non-alphanumeric characters, plus one or more characters from the original transcript of the Chronicles of Gilgamesh (mac users, please use Ancient Sanskrit), i'm far more likely to record said password somewhere other than my memory. This is where things like Firefox's auto-complete function is a wondrous blessing since it ensures that those passwords are encrypted and stored on my equally wonderfully encrypted truecrypt drive where any accidentally acquired keylogger is far less likely to get access to them.
Die Autocomplete-Funktion des Browsers hat eben nicht nur Nachteile, sie
schützt vor Keyloggern. Ein Umstand, den die "Experten" übersehen haben dürften. Cranky nutzt außerdem Verschlüsselung; er weiß vermutlich, was er tut. Das kann man nicht von jedem behaupten, doch:
i mean, yeah, i can imagine that some idiot logs in to a computer set up on some random Anacostia street corner and doesn't think to flush his cookies or clear his browser's cache, but frankly, if THAT was the case, i'd hazard that there are about 80 other issues that this theater wouldn't actually address (like the fact that the computer is made of cardboard and consists of a guy making "beep-boop" noises when you press the "keys").
Kurz gesagt: Man kann menschliche Probleme nicht mit technischen Mitteln lösen. Wenn Menschen ihre Passwörter unsicher aufbewahren, dann ist es egal, ob sie dies auf einem Computer tun oder auf einem Zettel am Monitor. Sicher, der Browser sollte die Verwendung eines Master-Passwortes zur Verschlüsselung der gespeicherten Daten erzwingen. Aber die Entscheidung, ob ich meine Banking-PIN speichern will, sollte — notfalls nach drei Warnungen — bei
mir liegen, und nicht bei den Wahnsinnigen, die sich folgende Methoden ausdenken, um mich zu ärgern:
1) A script that waits half a second after the page finishes loading, then clears the user name and password fields.
2) A drop down username selection box that obscures all but the last three letters of the previous login entry which kinda screws up the auto-fill since it's missing half of the index it uses to figure out what password to fill in.
3) A script that actually removes the password box entirely, replacing it with a Div that accepts keystrokes and inserts "*".
Diese Webdesigner kämpfen gegen ihre eigene Anzeigesoftware. Und damit gegen den User.
