Das Problem haben alle Passwort Manager, die dieses Feature anbieten. FF- und Chromium-basierte Browser eingeschlossen. Macht es für Bitwarden Anwender, die die Erweiterung nebst Autofill nutzen nicht besser, ist aber ein allgemeines Problem. Bitwarden an sich ist völlig ok, wenn man Brain.exe als App installiert hat.
Ich weiss jetzt nicht, wieso die IFrames spezielle hervorgehoben sind in diesem Artikel. Wenn es möglich ist über XSS ein IFrame einzubinden. Dann ist es auch sehr wahrscheinlich das man eine JS in die kompromittierte Seite einbinden könnte. Und dann kann das Passwort so oder so gestollen werden.
1 „Gefällt mir“
Eben dieses. Und wer eine CSP hat die anonymes JS verbietet, hat man sehr sicher auch ein iframe limit in der CSP stehen.
Was dabei auch nicht geht, ist die Tatsache, dass Bitwarden automatisch den TOTP-Code eines Logins in die Zwischenablage kopiert (und belässt), wenn das Login durch die genannte Methode automatisch ausgefüllt wird. 
Siehe → https://bitwarden.com/help/auto-fill-browser/#on-page-load
steht wo?
Tip
Automatic TOTP copying can be turned off using Settings → Options → Copy TOTP automatically, which will be on by default. Additionally, use the nearby Clear clipboard option to set an interval with which to clear copied values.
Warum sonst sollte ich die Zwischenablage manuell löschen müssen?!
1 „Gefällt mir“
Ah ok, überlesen. Anyway, es ist transparent und mit einer Option zum automatischen Löschen der Zwischenablage. Oder man schaltet das Ding gleich ganz ab. No harm done. (imho)
Insgesamt sehe ich Autofill bei allen P. managern kritisch, da beißt die Maus keinen Faden ab.
Tja, brain.exe haben leider nicht alle installiert, bei weitem nicht alle.
Zumal leider die wenigsten Anwender tatsächlich in die Dokumentation schauen dürften. Eine Hinweismeldung zu der Problematik, sobald der Anwender Autofill aktiviert, wäre hier wünschenswert.
Einen Login via Iframe umzusetzen, ist aus technischer Sicht ohnehin alles andere als „sauber“. Und ich denke nicht, dass es Aufgabe eines Passwortmanagers ist, die Unzulänglichkeiten schlecht gemachter Webseiten zu Ungunsten der Sicherheit des Anwenders zu kompensieren.
Aus meiner Sicht sollte Autofill spätestens beim Wechsel der Domain seinen Dienst grundsätzlich verweigern. Es ist Aufgabe der jeweiligen Webentwickler, das anständig zu lösen.
Soweit ich das gesehen habe, gibt es diesen Hinweis zu Autofill und das direkt in der Erweiterung. Grundsätzlich gehört ein PM nicht in den Browser! Vielleicht sollte Bitwarden das gesamte Erweiterungskonzept überdenken.
Da sind wir uns einig. Bequemlichkeit geht nicht selten auf Kosten der Sicherheit.