Beiträge von FireFocker

Also das Fazit lautet dann wohl: Wenn man den Komfort will, dass gespeicherte Logindaten automatisch auf den Seiten eingetragen wird, dann muss man auch in Kauf nehmen, dass diese in Klartext angezeigt werden können (wenn man weiß wie).

Da es für diesen Umstand keine Lösung geben wird, zumindest in absehbarer Zeit, dann möchte ich gerne noch eine andere Sache bezüglich Passwortsicherheit im Vergleich FF und Chrome abklären.

Die lokal gespeicherten Website Passwörter in Chrome sind meines Wissen nach "nur" durch das Windows Benutzerpasswort verschlüsselt. Gehen wir mal davon aus, dass die meisten privaten Nutzer aus Bequemlichkeit ein sehr schwaches Windows Benutzerpasswort haben, aber FF User welche das Master-Passwort nutzen ein eher starkes Passwort haben. Dann wären bei einem Zugriff durch einen Trojaner, welche die Passwortdateien der Browser klaut, die in Chrome gespeicherten Passwörter "leichter" zu knacken als die durch das MP gesicherten Passwörter des FF.

Kann man das so sehen?

Zitat von Bernd.

:roll:

Oh, da hat Sören wohl von der Nutzung der Passwortverwaltung ohne Master-Passwort gesprochen... :-??

Zitat von Sören Hentzschel

Lass mich meine Aussage um ein Wort korrigieren: ausreichend. Die Passwörter sind nicht ausreichend verschlüsselt. Nicht verschlüsselt war sicher nicht einwandfrei formuliert, aber halt das, worauf es hinausläuft. Wer Zugang zum Computer hat, hat normalerweise schnell Zugang zum Profil. Und das reicht bereits zum Entschlüsseln der Passwörter, du brauchst nur die Dateien key3.db und signons.sqlite und kommst damit an alle gespeicherten Passwörter im Klartext. Von ausreichendem Schutz kann ohne Master-Passwort nicht die Rede sein.

Also wenn ich ein 64-stelliges (behelfsweise die maximale Anzahl an Stellen) Master-Passwort erstellte und damit meine Passwörter in FF schütze, dann kannst du oder jemand anderes an die gespeicherten Passwörter/Logindaten ohne Probleme rankommen, wenn die genannten Dateien vorliegen/kopiert wurden?

Wie würde das von statten gehen? Boxt du einfach durch die Passwörter-Mauer?

Ist die Art der Verschlüsselung zu schwach oder worauf begründest du deine Aussage?

Zitat von Fox2Fox

Das kannst du ausblenden.

about:config in die Adresszeile eingeben - enter.

Einen neuen Boolean-Wert anlegen - rechte Maustaste ins freie Feld klicken
Einstellungsname: devtools.inspector.enabled 
Wert: false

[Blockierte Grafik: http://i.imgur.com/oHbHaIi.jpg]

Jemand der den HTML Trick kennt, der wird sich auch davon nicht abhalten lassen, die Option "Element untersuchen" wieder innerhalb von wenigen Sekunden anzeigen zu lassen.

Zitat von Sören Hentzschel

Und wo ist da nun bitte der vermeintlich schwere Fehler? Wenn man den Input-Type von einem Passwort- in ein Textfeld ändert, wird genau das erwartet, dass da Klartext steht. Firefox verhält sich hier also absolut korrekt, so funktioniert HTML nun einmal. Nicht anders verhalten sich Chrome, Opera und Safari.

Um explizit auf die Ausgangsfrage zu antworten: Ja, das ist im Sinne des Erfinders. Wenn man sich das Benutzerkonto mit anderen teilt, darf man halt keine Passwörter im Browser speichern, wenn man diesbezügliche Bedenken hat. Nutzt man sein Benutzerkonto alleine, ist das sowieso kein Thema, kommt man ja nur selbst ran.

Hi Sören, ich verstehe deine Antwort und sehe, dass das aus der HTML-Sicht eines Programmierers konsistent ist. Aber aus Benutzersicht ist es leider nicht konsistent. Die perfekt Lösung gibt es nicht, aber das FF MP war bisher die beste Lösung. Es schützt die Passwörter ausreichend, wenn FF nicht in Nutzung ist und (sollte) verhindern, dass man sich die PW anzeigen lassen kann, wenn man physikalischen Zugriff auf den Rechner hat. (Dass man Schabernack betreiben kann, wenn man sich irgendwo einloggt ist klar, aber das ist ein längerer Weg als sich innerhalb von Sekunden ein Passwort anzeigen lassen zu können).

Das MP war bisher Nr. 1 Grund FF dem Chrome vorzuziehen, da das Sicherheitskonzept des Chromes darauf beruhte ein starkes Windows Passwort zu haben und seinen Arbeitsplatz zu sperren, sobald man diesen verlässt. Das MP des Firefox hat dies zumindest bei den gespeicherten Website Logindaten obsolet gemacht.

Kann es irgendeine Möglichkeit geben, dass man mit diesem oder irgendeinem Trick die Anzeigen der eingetragenen Passwörter des Passwortfeldes unterbindet?

Bernd
Danke, aber ich glaube du hast nicht verstanden, um was es mir geht. Ich versuche es mal anders:

- Ich will Logindaten (Benutzer + Password) in Firefox speichern, da ich ja die überaus sichere Master-Passwort Funktion nutze.

- Ich will auch, dass Firefox, wenn ich das Master-Passwort eingegeben habe, Logindaten automatisch auf Webseiten einträgt.

- Ich will nur nicht, dass man über "Element untersuchen", wie beschrieben, sich das Passwort anzeigen lassen kann.

Falls jemand sich physikalischen Zugang zu meinem laufenden Rechner verschafft und Firefox geöffnet ist (Master-Passwort wurde bereits eingegeben) sollte es nicht möglich sein sich die Passwörter anzeigen zu lassen.

Beispiel: "Jemand" könnte z.B. auf Amazon gehen und sich via "Element untersuchen (Q)" mein Amazon Passwort anzeigen lassen. Wenn man in den FF Passwortmanager geht, kann man sich dort die Passwörter nur einzeigen lassen, wenn man das Master-Passwort in die Abfrage eingibt. Dies kann man aber umgehen, in dem man auf die Seite surft und sich das Passwort anzeigen lässt.

Genau das will ich nicht.

Hallo,

ich bin seit Stunde Null eine begeisterter Firefox User und ziehe diesen nachwievor nicht nur beim Arbeiten Chrome vor. Vor allem die Passwortverwaltung via Master-Password ist für mich GOLD wert, und das Fehlen bei Chrome ein absolutes KO Kriterium.

Jetzt musste ich aber mit Schrecken feststellen, dass die Nutzung via Master Password eine unangenehme Lücke aufweist, welche ich bisher nicht kannte.

Die gespeicherten Passwörter kann ich in den Einstellungen nur einsehen, wenn ich das Master-Passwort erneut eingebe. Ohne erneute Eingabe komme ich also an die Passwörter nicht ran. Zwar können sich andere Personen bei einem physikalischen Zugriff auf meinen Rechnern auf Webseiten einloggen, jedoch können Sie nicht die Passwörter einsehen. Zumindest dachte ich das bis jetzt.

Ich habe nun herausgefunden, dass man sich gespeicherte Passwörter anzeigen lassen kann. Wenn auf einer Loginseite die Zugangsdaten automatisch eingetragen werden, dann kann man via Rechtsklick auf das Passwortfeld die Optionen "Element untersuchen (Q)" wählen, um in dem HTML Code bei <type="password"> den Wert "password" auf "0" zu setzen. Dies hat zur Folge, dass das Passwort in dem Passwortfeld in Reinschrift angezeigt wird.

Für mich war das ein absoluter Schock, da ich mich bisher immer in Sicherheit wähnte, was die Anzeige meiner gespeicherten Passwörter angeht. Ich habe den schwarzen Punkten in dem Passwortfeld vertraut.

Ich würde gerne wissen, ob das im Sinne des Erfinders ist und ob man dies in irgendeiner Form unterbinden kann. So dass Passwörter in Klarschrift nur durch Eingabe das MP angezeigt werden.

Vielen Dank
Felix