Beiträge von cyclefox

Zitat von madblueimp

Zu 4.:
Firefox Passwort Manager kommt mit Bank-Logins klar (und damit auch Secure Login) - siehe:
http://www.firefox-browser.de/forum/viewtopi…tart=180#356055

Zu 7.:...
Und Login-Daten für HTTP-Formulare müssen vor der Übertragung entschlüsselt werden.
Das gilt auch für per HTTPS übertragene Daten. Diese werden zwar wiederum verschlüsselt übertragen, jedoch wird dazu der "Public Key" des Webservers verwendet, und nicht der lokale Schlüssel aus der key3.db Datei.

Zu 4:
Danke für die Tipps. Ich meinte aber wohl was anderes. Nämlich wenn logins mehrere Passwörter benötigen, wie z.B. unter http://www.dab.com (oder gleich den hier https://www.dab-bank.com/dabip/homepage…psRequired=true) Dort benötigt man fürs brokerage immer zwei passwörter, die zugangsnr (user), eine internet-pin und die telefon-pin auch noch! beide haben den typ password.

viele logins brauchen tatsächlich nur user + pwd, aber hier sind es eben drei! Ich meinte, dass firefox mit dem 2. passwort nicht klarkommt, weil er es ja nicht speichern kann - vermute ich mal? Das ist dann wohl ein (Sonder)Sonderfall :wink:

Zu 7:
Sehe ich das richtig?
Ich könnte user + pwd auch in die adresszeile eingeben oder in einem gespeicherten (normalerweise verschlüsselten Link) und mich so anmelden? Wäre das genau so sicher?
Wird denn der Inhalt der Adresszeile bei der SSL-Übertragung auch verschlüsselt? Gibt es dazu eine nachlesbare Erklärung?
So etwas ähnliches geschieht ja auch im Programm an der Stelle, beim direkten Login ohne Form.

Was bedeutet eigentlich das 'application/x-www-form-urlencoded'? Heisst das, dass die URL unverschlüsselt übergeben wird?

Noch eine Anmerkung:
SecureLogin überzeugt natürlich auch durch die große Offenheit des Autors und den Source. Den hat man ja vor sich und kann schauen, was der so alles tut....und die leute von addons.mozilla sind ja auch noch da.

Zitat von Dr. Evil

madblueimp: bewundernswert, wie gelassen du mit einem solch Beitrag, der dich aus falschen und unwahren Gründen angreift, umzugehen vermagst.

Nein, das war NICHT als Angriff gedacht!
Und Danke an madblueimp für seine ausführliche Antwort!

1.
Die FF-Passwörter werden verschlüsselt unter Profiles\..\signons2.txt gespeichert.
Evtl. noch zusätzlich in key3.db?

1.1
Diese ändern sich nur einmalig bei neuaufnahme in die liste, jedoch nicht mit änderung
des masterpassworts! Das ist mir nicht sicher genug! Das masterpasswort müsste auch darin
verschlüsselt werden. wird es aber nicht.

1.2
Der verschlüsselte String ist auf ein und dem selben Rechner aber abhängig von der Zeit oder
einem Zufallsgenerator (krypto-seed); denn ein und dasselbe login + passwort ergibt bei identischem
masterpasswort ein anderes verschlüsselungsergebnis.

2.
Wo das Masterpasswort abgespeichert wird ist nicht 100% klar. vermutlich in key3.db. diese
datei wird aber mit jedem sitzungsende neu geschrieben, so dass es nicht so einfach
festzustellen ist.

3.
Das Verschlüsselungsverfahren aller Passwörter ist unbekannt (das ist auch nicht gut).
Ist es wenigstens ein gutes Verfahren? Im Forum habe ich dazu auch nichts gefunden.

4.
der firefox-passwortmanager kommt mit bank-logins nicht klar; somit SecureLogin auch nicht!
er kann nur einfache logins mit einem passwort managen.

5.
wie die kryptographiemodule funktionieren und/oder damit im zusammenhang stehen ist (mir)
völlig unklar. also auch, ob damit eine höhere sicherheit erreichbar wäre.

6.
die sicherheitslücke auf grund derer securelogin u.a. wohl entwickelt wurde, lässt nicht
gerade auf eine sicherheitsrelevant hochwertige entwicklung schliessen. der login-prozess bleibt
auch noch mit securelogin angreifbar: sobald ein krimineller hacker zugriff auf die Erweiterungs-
datei erlangt (ich habe mir den Source angesehen), ist es ein leichtes die Erweitrung selbst im
Source so zu ändern, dass z.B. trotz abweichender URL zu der im Passwortmanager gespeicherten URL
des passworts an eine pishing-seite übergeben wird. dies muss dann selbst
natürlich nochmals verschleiert werden (um zeit zu gewinnen). Z.B. würde man dem Anwender nach
wie vor die richtige URL in der Statuszeile anzeigen, tatsächlich aber eine andere verwenden,
oder lediglich zusätzlich. aber grundsätzlich sind die firefox-erweiterungen die in javascript
geschrieben sind angreifbar,
sobald deren source geändert werden kann. das drama dabei ist, das die angegriffene erweiterung trotz,
Abschaltung von JavaScript (auch mit noskript (=> java-skript "abgeschaltet"))
immer noch funktioniert, weil erweiterungen ja
sonderrechte geniessen. Es ist auch sehr viel einfacher javascript source zu manipulieren als
binärcode (exe, dll). das ist ein grundsätzliches problem von interpretiertem code; und damit sind
alle Erweiterungen dieser Art ein zusätzliches Sicherheitsproblem, weil sie sehr einfach zu patchen
sind.

7. Die Passworte liegen in den dazu relevanten Erweiterungen im JavaScript-Arbeitspeicher im
Klartext vor.

Mein Fazit dazu:
um wirklich sicher zu sein, müsste man stets auch den Source der Erweiterungen (nicht nur von
securelogin) vor dem Login überwachen. Z.B. mittel Prüfsummen und/oder Backups der jar-Dateien.
Wenn man ein hohes Sicherheitsbedürfnis hat sollte man das von Zeit zu Zeit mal machen. Ein Viren-
scanner würde eine Sourcecodeänderung nämlich nicht erkennen! Ich habe beispielsweise auch die
Tasten-kombination verändert, denn auch ALT-N ist ja vorhersagbar und können von aussen abgesetzt
werden, so das die anmeldung wie ohne securelogin sofort erfolgt.

Generelles Fazit:
- mir war es wichtig mehr klarheit über die punkte zu erlangen; und ich denke es ist wichtig, dass
auch Ihr diese Dinge wisst.
- leider konnte ich das verschlüsselungsverfahren von FF nicht herausfinden.
- Für "unwichtige" logins ist securelogin trotzdem eine schöne sache.
- man achte immer auch auf den im tooltip angezeigte URL!
- Am wichtigsten ist meines Erachtens, dass die Kommunktion / die Anmeldung auf der richtigen Seite
erfolgt. Dazu sollte man sich immer über "Seiteninformationen" das Zertifikat, die Zertifizierungsstelle
und den Inhaber überprüfen. Dabei dürfen keine FF-externen oder interne Keylogger aktiv sein.
Ich hoffe ja, das wenigstens die Zertifikateanzeige im FF so geschütz ist, dass nich auch noch
diese durch Erweiterungen verändert werden kann. Das wäre dann nämlich der Super-Gau.

7.
Noch eine Anmerkung zu einem anderen Tool, dem Passwort Exporter:

http://www.firefox-browser.de/forum/viewtopi…p=358312#358312
p.s.: damit hat securelogin nichts zu tun. ist aber auch sicherheitsrelevant.

Eine Anmerkung zum Passwort Exporter:

https://addons.mozilla.org/de/firefox/addon/2848
Achtung: Dort wird von verschlüsseltem Passwort-Export gesprochen.
"Mitgliedsnamen und Passwörter verschlüsseln"
Das ist m.E. gefährlich! Denn es wird nur eine sehr einfache, überall verfügbare Kodierungsfunktion
von JS (atob) verwendet. Jeder der Zugriff auf die exporierte, angelbich "verschlüsselte".
Datei hat, kommt sehr leicht an den Klartext der Passwörter ran!
In der Erweiterungsbeschreibung wird zwar freundlicherweise auf das Problem hingewiesen,
aber bitte gaukelt den Anwendern nicht mehr Sicherheit vor als Ihr Ihnen bieten könnt!
Obiger Text "Mitgliedsnamen und Passwörter verschlüsseln" muss deshalb meines Erachtens
geändert werden, da er Nicht-Computerexperten zu viel an Sicherheit suggeriert!

Unter Verschlüsselung versteht man landläufig doch viel mehr als die bekannte methode atob().