Beiträge von madblueimp

Das liegt daran, das RoboForm in diesem fall fast so gut ist wie Secure Login.
Im direkten Vergleich hat diese Software trotzdem keine Chance gegen die Open Source Alternativen.

Zitat von MonztA

Mit Secure Login funzt die Demo nicht.

Secure Login wurde damals schon mit als Reaktion auf dieses Sicherheitsproblem entwickelt.

Zitat von Mike1971Bln

Nun bin ich auf die Erweiterung Secure Login gestoßen.
http://www.erweiterungen.de/detail/Secure_Login/

Ist diese Erweiterung in Verbindung mit dem internen Passwort Manager des FF sicherer und zu empfehlen, oder würde man mir generell davon abraten, die Passwörter über den internen PW Manager des Firefoxes automatisch abzuspeichern. Ist schon eine Arbeitserleichterung, wenn man beim Einloggen nicht mehr die PW/Benutzernamen etc. manuell eingeben muss.

Ich würde dir die Kombination "Firefox Password Manager" + "Secure Login" jedenfalls empfehlen.
Da meine Meinung hierzu aber voreingenommen sein könnte empfehle ich dir ein paar Blog-Einträge und Reviews zu Secure Login:

http://blog.kairaven.de/archives/1075-…it-Firefox.html
http://blog.kairaven.de/archives/1248-…asswoerter.html
http://mozillalinks.org/wp/2007/03/str…tofill-feature/
http://maximillianx.blogspot.com/2007/06/passwo…fox-secure.html

Zitat von Mike1971Bln

BlowFish, TwoFish, Cast128, RC2, 5, u. 6
Welche hiervon ist die sicherste ?

TwoFish ist der Nachfolger von BlowFish und kam mit MARS, RC6, Serpent und Rijndael (dem Gewinner) in die Endrunde zur Auswahl des Advanced Encryption Standard.

Zitat von Mike1971Bln

Wenn ich die interne FF Variante mit der Erweiterung Secure Login nutze, würden dann alle meine im Firefox abgespeicherten PW/LogIn Daten , vor einem weiteren Angriff sicher sein??
Denn wenn ich das richtig verstehe, gibt man die PW mit der Erweiterung Secure Login nicht mehr in den Feldern ein , somit kann ja nichts ausspioniert werden, oder liege ich da falsch?
Ich beschäftige mich ja erst seit meinem Viren Angriff mit der Materie, und den daraus ganzen entstandenen Nachfolgestress.

Falls dein Rechner mit Malware verseucht ist nützt dir keinerlei Passwort-Management-Programm - die Sicherheit der Daten auf deinem Rechner, oder der auf deinem Rechner eingegebenen Daten kannst du nur mit einem sauberen System sicherstellen.
Zum Thema habe Schutz vor Keyloggern und Malware gab es schon mal eine Diskussion, zu der ich auch einen Beitrag geschrieben habe:
http://www.firefox-browser.de/forum/viewtopi…p=374527#374527

Zu den Vorteilen von Secure Login & Autofill Forms gegenüber AI Roboform siehe hier:
http://www.firefox-browser.de/forum/viewtopi…p=370128#370128

Secure Login & Autofill Forms sind meiner Meinung nach mehr als nur ein Ersatz für Roboform und stehen diesem Programm sicherheitstechnisch auch in nichts nach. Da sie auch ohne Probleme auf Mac OS X und Linux einsetzbar sind gewinnt man bei Einsatz dieser Betriebssysteme auch noch an Sicherheit.

P.S.:
Ich würde dir auch empfehlen, Add-Ons wenn möglich immer von addons.mozilla.org zu beziehen, oder falls HTTPS unterstützt wird und die Seite vertrauenswürdig ist, direkt von der Homepage der Erweiterung.

P.P.S.:
Falls du weitere Fragen zu Secure Login hast, kannst du sie gerne im zugehörigen Thema stellen:
http://www.firefox-browser.de/forum/viewtopic.php?p=345102

Da die Icons mit Hilfe von CSS dargestellt werden, hilft dir vielleicht auch SELFHTML weiter.

Die Erweiterungs-Archive bekommst du von der gleichen Quelle, von der du sie auch installiert hast - statt mit der Linken Maustaste klickst du einfach mit der Rechten auf "Installieren" und wählst "Ziel speichern unter...".

Zitat von iChris

wunderbar, danke ... in einem ersten Testlauf hat das schon mal funktioniert, und das auf dem Mac ...

Firefox Erweiterungen zu Entwickeln ist weitgehend Plattform-unabhängig.

Zitat von iChris

muß ich mir die icons, wie hier z.B. der Bleistift für Autofill, selbst irgendwo suchen, oder kann ich auf die vorhandenen Standardicons zurückgreifen ... die finde ich nämlich auf dem Rechner nicht

Du findest die Icons im Erweiterungs-Archiv.
Dazu entpackst du zuerst die XPI-Datei und danach die darin enthaltene JAR-Datei. Das funktioniert z.B. mit 7-Zip.
Im darin enthaltenen Ordner skins findest du die Autofill Forms Icons.

Zitat von iChris

Wenn ich das für andere Buttons auch machen möchte, kann ich das alles entsprechend in diese UserChrome.css mit hineinkopieren und auch die entsprechenden Icons alle in den selben Ordner ... ?

Richtig.

OK, dann eine kleine Kurzanleitung:

Im Ordner [Dein Firefox-Profil-Ordner]/chrome erstellst du eine Datei mit dem Namen userChrome.css.

Darin kopierst du folgenden Inhalt:

@namespace url("http://www.mozilla.org/keymaster/gatekeeper/there.is.only.xul");


#autofillFormsButton {
	list-style-image: url("pencil.png") !important;
}
#autofillFormsButton:hover {
	list-style-image: url("pencil.png") !important;
}
toolbar[iconsize="small"] #autofillFormsButton {
	list-style-image: url("pencil-small.png") !important;
}
toolbar[iconsize="small"] #autofillFormsButton:hover {
	list-style-image: url("pencil-small.png") !important;
}

In den gleichen Ordner kopierst du zwei Icons, eines 16x16 Pixel, das andere 24x24 Pixel groß und benennst sie so wie in den Style-Angaben (z.B. "pencil.png" und "pencil-small.png").

Das war's - nach einem Firefox-Neustart sollten die Icons aktualisiert sein.

Zitat von iChris

wie aufwendig ist es eigentlich, die Menübuttons an die Themes anzupassen ?

Das ist kein Problem - du musst nur die CSS-Angaben für die DOM-ID #autofillFormsButton überschreiben.
Die Angaben findest du im Erweiterungs-Archiv in der Datei <a href="view-source:jar:jar:https://blueimp.net/mozilla/xpi/au…tofillForms.css">autofillForms.css</a>.
Du könntest diese Angaben z.B. in der Datei userChrome.css überschreiben.

Den Eintrag kann ich selber pflegen, bzw. die Angaben zum Programm selbst - die Beschreibung, die Zusatzinformationen wie "Ähnliche Programme" und der eigentliche Eintrag kommen aber vom Software-Team der Heise-Website.

Eine Integration von Secure Login in Firefox fände ich natürlich auch prima.
Ich habe das mal lapidar auf der aktuellen Bug-Meldung vorgeschlagen:
https://bugzilla.mozilla.org/show_bug.cgi?id=360493
Vielleicht bewegt sich ja was, wenn mehr Leute solch eine Funktionalität fordern.

Edit: Du liest und schreibst einfach zu schnell.

Wow - ich habe den Heise Security Newsfeed abonniert und lese auch fast immer ein paar Kommentare (meist die grünen und die ganz roten zur Belustigung), aber die Benachrichtigungs-Mail zu deinem Beitrag hier habe ich zuerst gelesen.

P.S.:
Secure Login ist mittlerweile auch im Heise Software-Verzeichnis eingetragen:
http://www.heise.de/software/download/secure_login/45602

Zitat

die greasemonkey userscripts werden ja im kontext der geladenen seite ausgeführt

Ah, ok, das wusste ich nicht - ich habe GreaseMonkey zwar installiert, es bisher aber nicht benutzt.
In dem Fall hast du wohl keine Möglichkeit um Autofill Forms Funktionen aus einem GreaseMonkey Skript heraus aufzurufen.

Du könntest als Alternative dein UserScript als Erweiterung kompilieren, wodurch du auf die Autofill Forms Funktionen zurückgreifen könntest.

Klar, kein Problem, du kannst dafür den gleichen Code verwenden, mit dem Autofill Forms z.B. per Mausgeste ausgeführt wird:

try{autofillForms.fillForms();}catch(e){};

Zitat von Jenz

Gibt es eine Möglichkeit, die mit den Jahren angesammelten "WAND"-Pässe nach FF zu konvertieren/einzufügen?

Funktioniert eventuell mit Hilfe der Import-Funktion von Firefox (=> Datei => Importieren...).

Das hat allerdings nichts mit der Erweiterung Secure Login zu tun - diese nutzt Firefox integrierten Passwort Manager - die Frage gehört also eher zum allgemeinen Firefox-Support.

boardraider hat die Frage eigentlich schon beantwortet (danke boardraider
Secure Login schützt in dem Sinne vor Keyloggern, weil ein gespeichertes Passwort eben nicht manuell eingetragen werden muss, sondern bei Klick auf die Symbolleistenschaltfläche, per Tastaturkürzel oder Mausgeste automatisch in das Login-Formular eingetragen wird.
Secure Login bietet auch noch weitere Sicherheitsverbesserungen, die in der integrierten Hilfe (im Abschnitt "Sicherheit") erläutert werden.

boardraider hat aber auch recht damit, das es sinnvoller ist, sein Betriebssystem von vorneherein besser zu schützen als sich um die Umgehung von Keyloggern Gedanken zu machen.

Das essentielle wurde schon in dem von dir verlinkten Thema gesagt:

Zitat von bugcatcher

Ich bin mir nicht im klaren, wofür so ein "Anti-Keylogging"-Programm überhaupt gut sein soll. Wenn Du einen Keylogger auf Deinem System hast, vor dem du dich schützen willst (und nur dann wirkt der Schutz ja), dann ist Dein System konterminiert. Und wenn man einen Keylogger einschleusen konnte, kann man das dann wohl auch mit anderen Tools. Dann ist der Keylogger dein geringstes Problem.

Ich persönlich nenne diesen ganzen Quatsch "Geld machen mit einer künstlich erzeugten Angst". Naja. Muss jeder selbst wissen.

http://www.firefox-browser.de/forum/viewtopi…p=378874#378874

Ich teile hier bugcatcher's Meinung - so bald ein "bösartiges" Programm auf deinem System erfolgreich ausgeführt wurde kann die Sicherheit nicht mehr gewährleistet werden. Das gilt besonders deswegen, da der Einsatz von Rootkits in Schadsoftware mittlerweile verbreitet ist - in dem Fall helfen dir nämlich meist keine der lokal installierten "Sicherheits-Werkzeuge" mehr.

Zum Thema Sicherheit der eigenen Passwörter und Daten:
http://www.firefox-browser.de/forum/viewtopi…p=374527#374527

Zitat von Oliver222

Auslesen liessen sich solche unverschlüsselten PW´s einer aktiven Sitzung aus dem RAM heraus dennoch - und zwar über "dd if=/dev/mem | hexdump -C | grep `x`" unter Linux / bzw. durch "WinHex" unter Windows. Gilt jedoch alles nur bis zum nächsten Reboot.

Wenn es jemand schaffen sollte diesen Befehl (für den man ja root-Rechte braucht) während ich am Rechner bin auszuführen, dann bin das wohl ich - und ich darf meine Passwörter auch lesen.

Oder es war der Bundestrojaner, der dann durch freundliche Updates auf mein System kam - allerdings glaube ich kaum, das so etwas bei Ubuntu passieren würde - höchstens auf den deutschen Mirror-Servern - und auch das würde dann doch zu sehr nach Überwachungsstaat schreien.

Zitat von Oliver222

OT und ganz nebenbei: Glaubst Du vielleicht auch daran, dass der Binär-Code, als eine Art universale Sprache, auch von anderen Welten verstanden werden könnte?

Habe ich ehrlich gesagt noch nicht drüber nachgedacht - letztendlich ist Binärcode ja nur ein vereinfachter Zeichensatz (1 und 0, "An" und "Aus"), im Prinzip kommt es dann wie beim Morsen auf die Interpretation der Kombinationen an. Je nach biologischer Ähnlichkeit fremder Kulturen ist vielleicht die (ungleich komplexere) nonverbale Kommunikation hilfreicher.
Ich hoffe einfach mal das ich die Beantwortung solcher Fragen noch mitbekomme.

Zitat von Oliver222

madblueimp fragte:

Freelancer, im Consulting-Bereich eines Sicherheits-Netzwerkaustatters.

OK, entschuldige mein Misstrauen - immerhin mache ich mich ja in deren Geschäftsfeld breit und stehe in Konkurrenz zu deren Anwendung (AI Roboform).

Zitat von Oliver222

Darauf wollte ich eigentlich hinaus. Entspricht die Grösse des OS in Deinem Falle auch der Grösse Deiner gesamten Festplatte - oder anders herum ausgedrückt - verschlüsselst Du die gesamte HD als eine einzige (virtuell gemountete) Partition, so dürften meiner Ansicht nach, Daten-Fragmente nicht wiederherstellbar sein. Lässt Du jedoch eine oder mehrere Partitionen Deiner Festplatte unverschlüsselt, so lassen sich (auch unter ext2/3), sowohl innerhalb der Partition Gaps, als auch auf den unverschlüsselten Partitionen selber, immer noch rückwirkend Daten-Fragmente aus den unalloziierten Bereichen der Festplatte wiederherstellen.

Damit sind aber doch Datenfragmente aus der vorherigen Benutzung der Festplatte gemeint, oder nicht? Also nicht Daten aus der aktuellen Benutzung?

Vielen Dank für deine Ausführungen, ist doch immer wieder interessant was man hier so erfährt.

Schlüsseldateien sind natürlich die besten Passwörter - das ist ja als würde man sich ein ewig langes, kryptisches Passwort auf einen Zettel schreiben und diesen sicher aufbewahren.

Aber für Leute, die öfters mal Sachen liegen lassen ist das wieder nix - ich suche z.B. derzeit meinen USB-Stick.

In der Schule sollst du ja auch lernen und nicht auf freundlichen Community-Websites Beiträge verfassen.

Nee, im Ernst, es kommt natürlich auch immer darauf an, wie vertrauenswürdig der Besitzer des fremden Rechners ist und wie sicher dieser eingerichtet ist - und auch wie wichtig die Sicherheit der verwendeten Passwörter ist.

Zitat von Sebastian

Also den Manager von gnome mag ich persönlich nicht...

Es gibt ja nicht nur einen Schlüssel-Manager - ich verwende z.B. gar kein Gnome, sonder XFCE, aber Seahorse finde ich schon sehr praktisch.

Du bekommst auch von <a href="https://addons.mozilla.org/firefox/4429/">addons.mozilla.org</a> updates - dort kann ich die Erweiterung selber hochladen.
Sie wird dann von einem Mozilla-Mitarbeiter überprüft und freigegeben.
Das geschieht aber mittlerweile sehr schnell, d.h. meistens maximal einen Tag nach dem ich die neue Version hochgeladen habe.

Von erweiterungen.de bekommst du eigentlich auch Updates, allerdings eben nur wenn die Version auf erweiterungen.de aktualisiert wurde, was ich zur Zeit nicht selber machen kann - ich habe einem der Betreiber aber gerade eine Nachricht zukommen lassen.

Am schnellsten bekommst du die Updates aber immer über <a href="https://blueimp.net/mozilla/">blueimp.net</a>.
Ich habe auch eben ein Installations-Skript hinzugefügt das dem von addons.mozilla.org entspricht (siehe http://developer.mozilla.org/en/docs/Instal…_From_Web_Pages ), damit sollte die Installation von der Webseite reibungsloser ablaufen.

Generell würde ich aber empfehlen Erweiterungen möglichst von addons.mozilla.org herunterladen. Das hat den Vorteil das sie von Mozilla-Mitarbeitern überprüft werden. Und es hat den Vorteil, das die Installation über eine gesicherte Verbindung abläuft (siehe http://www.heise.de/newsticker/meldung/90440 ).

Die Installation von <a href="https://blueimp.net/mozilla/">blueimp.net</a> läuft allerdings auch über eine gesicherte Verbindung.