Eigenartiges Sicherheitsproblem mit der key4.db

    Firefox-Version
    134.0.1
    Betriebssystem
    Windows 11

    Hallo,

    ich habe heute ein paar Tests mit dem Kopieren meines FF Profils auf einen neuen Rechner gemacht und dabei ist mir ein mögliches Sicherheitsproblem aufgefallen.

    Ich habe meine key4.db und logins.json (ohne MasterPW Schutz) auf den neuen PC kopiert. Und kann natürlich dann alle Passwörter benutzen und lesen im FF Passwordmanager.

    Dann habe ich auf dem alten Quell-PC den MasterPW Schutz aktiviert. Zugriff ist also nur noch mit Master PW möglich. Und dann habe ich die Logins.json (mit neu gesetzten Passwörtern) wieder auf den Zielrechner kopiert und siehe da ich konnte auch die neuen Passwörter im FF lesen OHNE das MasterPW angeben zu müssen und OHNE dass ich die neue key4.db mitkopiert hätte.

    Die alte key4.db (die noch ohne MasterPW) kopiert wurde, reicht aus, um auch die neuen Passwörter der logins.json zu entschlüsseln!

    Erst wenn man die neue key4.db (die nach dem Erstellen es MasterPWs auf dem Quellrechner erstellt wurde) mit auf den Zielrechner überträgt, muss man auch auf dem Zielrechner das MasterPW angeben.

    D.h. Sollte jemand eine alte key4.db von einem Profil geklaut haben als der User noch keine MasterPW gesetzt hatte, kann der Bösewicht auch im Nachhinein damit alle neu danach angelegten Passwörter sehen sofern er an die logins.json kommt. (die neue key4.db braucht er ja gar nicht) Eine Passwortabfrage ist immer noch nicht nötig. Ich halte das für bedenklich.

    Abhilfe kann ja dann nur sein, sobald man sich entschließt ein MasterPW zu setzen, ein ganz neues Profil anzulegen, weil man sich ja nicht sicher sein kann, wer alles ne alte key4.db inzwischen von meinem Profil gezogen hat.

    Das ist keine Sicherheitslücke, sonst wäre Mozilla da schon hinterher gewesen. Denn für diesen Vorgang braucht es händischen Zugriff auf die Hardware und dazu müsste man auch bei dir vermutlich einbrechen. Und dafür ist Mozilla nun wahrlich nicht verantwortlich.

    Ohne die passende key4.db keine Passwörter zu entschlüsseln, und auch kein Zugang mehr zu Sync, falls genutzt. Und es muss wirklich die richtige key4.db sein, keine aus einer anderen Firefox-Version.

    Wir sind keine Beschwerdestelle, hier gibt es nur Lösungen! Meine Glückszahl hier: 93.

    Naja, ich stelle mir folgendes Szenario vor. Ein Rechner ist frisch eingerichtet und steht im Büro ungesichert rum oder ein Mitarbeiter lässt den anderen mal kurz an den Rechner. Der Böse kopiert sich da mal schnell das Profil. (bzw die zwei Dateien)

    Erst Tage/Wochen später wird den Mitarbeitern nahegelegt mal ein MasterPW zu setzen. Ab dem Moment fühlt man sich sicher. "Keiner kann das Profil lesen und wenn man es kopiert kann man nix mit den Daten anfangen"

    Doch der Böse kann die PWörter (bzw. die json- Datei wenn er sie nochmal kopieren kann) sehr wohl bei sich entschlüsseln, sofern er die alte key4.db auf seinem Rechner hat.

    Büroalltag!

    Ja, sorry, also wer im Büro kein Bitlocker aktiviert, hat selbst schuld. Nochmal - du verpeilst den immer noch physischen Zugriff und ziehst die falschen Schlüsse.

    Wir sind keine Beschwerdestelle, hier gibt es nur Lösungen! Meine Glückszahl hier: 93.

    Sofern ein Windows Rechner im Büro läuft und entsperrt ist, verlässt man sich auf das MasterPW vom FF wenn man mal 5 Min weg ist. Aber wenn man da ans Profil rankommt und es kopieren kann, ist das eine trügerische Sicherheit.

    Ich glaube, du hast meinen Text oben gar nicht richtig gelesen.

    Zitat von ChristianUndCo

    Sofern ein Windows Rechner im Büro läuft und entsperrt ist, verlässt man sich auf das MasterPW vom FF

    Hallo :)

    nein. Das Gegenteil ist der Fall.

    Zitat von ChristianUndCo

    Ich glaube, du hast meinen Text oben gar nicht richtig gelesen.

    Eher verstehst Du das Problem nicht.

    Zitat von 2002Andreas

    Wenn man seinen Arbeitsplatz verlassen will, dann schickt man seinen PC erst in den Ruhezustand.

    Dazu brauchst es keinen Ruhezustand. Dazu musst Du den Rechner einfach sperren. In Windows geht das mit Win-L.

    Zitat von 2002Andreas

    Bevor ich in einem Browser wichtige Daten wie Passwörter speichere, sichere ich ihn per Kennwort.

    Einverstanden, wenn Du mit "ihn" nicht den Browser, sondern den Rechner meinst.

    Zitat von 2002Andreas

    Alles andere ich Pfusch bzw. Gleichgültigkeit.

    :thumbup:

    Gruß Ingo

    Zitat von 2002Andreas

    Bevor ich in einem Browser wichtige Daten wie Passwörter speichere, sichere ich ihn per Kennwort.

    Alles richtig! Bloss mein Einwand war, selbst wenn der User erst Daten (Login Passwörter) speichert nachdem er ein MasterPW gesetzt hat, kommt man nachträglich an die Daten wenn man vorher (als noch kein MasterPW gesetzt war) die key4.db kopieren konnte.

    Wenn ein Unbefugter an solche Daten kommen kann, dann hat das ganze Sicherheitskonzept versagt. Sprich man hat seinen PC nicht korrekt abgesichert. Zudem haben private Passwörter eh nichts auf einem Büro PC verloren. Wer hingegen berufliche Passwörter bzw. den PC nicht korrekt, bei seiner Abwesenheit sichert, der handelt fahrlässig.

    HP Chromebook 15a-nb0225ng, i3N-305, 8 GB LPDDR5-4800 MHz RAM (integriert), 256GB UFS, - chromeOS 126 (Stable Channel) - Linux Debian Bookworm: Firefox Nightly, Beta und Main Release (Mozilla PPA), Android 13: Firefox Nightly und Firefox (Main Release)

    Smartphone - Firefox Main Release, Firefox Nightly, Firefox Klar (Main Release)

    Zitat von ChristianUndCo

    mein Einwand war, selbst wenn der User erst Daten (Login Passwörter) speichert nachdem er ein MasterPW gesetzt hat, kommt man nachträglich an die Daten wenn man vorher (als noch kein MasterPW gesetzt war) die key4.db kopieren konnte.

    Hallo :)

    ergänzend zu AngelOfDarkness hast Du dann ganz andere Probleme. In Deinem Szenario, wenn das System nicht gesperrt ist, kopiere ich mir das Fx-Profil und Deine Dokumente (und evtl. weitere interessante Daten) auf einen Stick und installiere Dir einen Trojaner.

    Gruß Ingo

    Zitat von ChristianUndCo

    Bloss mein Einwand war, ...

    ... ziemlich konstruiert.

    Wenn du eine neue Wohnung beziehst und die Türe vorerst ohne Schloss lässt, kann man auch rein - was da geklaut wird, ist auch noch immer weg, wenn man Tage später ein Schloss einbaut.

    Und wer Firefox ohne Hauptkennwort nutzt, wird seine Gründe haben und dann wohl eher den PC sperren, was weit mehr umfasst als nur den Browser.

    Zum PC wurde genug gesagt, Sperren per  Win  +  L  und fertig. Quasi ein Griff.

    PS: ich habe im Browser ohnehin keine Kennwörter gespeichert.

    Zitat von ChristianUndCo

    wenn man vorher (als noch kein MasterPW gesetzt war) die key4.db kopieren konnte.

    Ist doch auch völlig richtig, denn diese Datei war ja dann auch noch nicht gesichert.:/

    Erst die neu erstellte ist es.

    Man kann auch den kompl. Profilordner kopieren, dann kann jede sehen auf welchen Webseiten du mal warst, außer du warst immer im privaten Modus;)

    Mit freundlichem Gruß
    Andreas
    Mein Laptop  Meine Add-ons

    Einmal editiert, zuletzt von 2002Andreas (19. Januar 2025 um 19:08) aus folgendem Grund: Ein Beitrag von 2002Andreas mit diesem Beitrag zusammengefügt.