[Erw] Opera Wand (Zauberstab) für Firefox - Secure Login

  • Ich habe jetzt doch eine "Custom Update URL" hinzugefügt, da es wohl noch eine Weile dauert, bis SecureLogin auf addons.mozilla.org gelistet ist.

    Somit kann SecureLogin ab sofort automatisch aktualisiert werden.

    Dazu müsst ihr folgendes tun:

    Firefox beenden.

    Öffnet folgenden Ordner:
    --> [EUER PROFILVERZEICHNIS]/extensions/secureLogin@blueimp.net/

    Darin öffnet ihr die Datei "install.rdf" mit einem Texteditor, der UNIX-Zeilenumbrüche (\n) versteht.

    Dort fügt ihr direkt hinter der "optionsURL" folgende Zeile ein:

    Code
    <em>https://blueimp.net/mozilla/update.rdf?itemid=%ITEM_ID%&itemversion=%ITEM_VERSION%&appid=%APP_ID%&appversion=%APP_VERSION%&appos=%APP_OS%</em>


    Wichtig: Statt "em" müsst ihr als Tags "em:updateURL" verwenden. Leider verschluckt phpBB diese Tags sonst hätte ich sie direkt mit hinein geschrieben. :|

    Zur besseren Erklärung:
    Der Eintrag muss genau so wie auf http://developer.mozilla.org/en/docs/install.rdf#updateURL unter Examples beschrieben aussehen, nur mit der von mir angegebenen URL
    https://blueimp.net/mozilla/update.rdf?itemid=%ITEM_ID%&itemversion=%ITEM_VERSION%&appid=%APP_ID%&appversion=%APP_VERSION%&appos=%APP_OS%

    Nach einem Firefox-Neustart sollte euch das Update zur Version 0.4.1 angezeigt werden. :)

    Alternativ kann man auch einfach die neue Version 0.4.1 manuell installieren, da ist die updateURL schon integriert.

  • Extra angemeldet:

    Gute Arbeit.
    Damals beim Umstieg hab ich das echt vermisst.

    Und jetzt wo ich es wiederentdeckt habe, möchte ich das nicht mehr missen.

    Da ich das gleiche Problem habe wie Panther, kannst Du in kurzen, für Laien verständlichen Worten, erklären wofür dieser Java-Script-Schutz nötig ist?

    Nur wenn deine Zeit und Lust es zuläßt ;)

  • kann mir nochmal bitte jemand zusammenfassen, warum ich Secure Login gebrauchen könnte? Der Sinn erschliesst sich mir bisher absolut nicht.

    Wenn ich mich irgendwo einloggen soll, sollen die Formularfelder automatisch ausgefüllt werden? Was genau ist damit gemeint? Bei mir ist das gewiss nicht so. Wenn ich zB dieses Forum besuche, bin ich automatisch eingeloggt, weil im zugehörigen Cookie die Daten stehen. In anderen Foren isses genauso. Wenn ich mich aber mal auslogge, und wieder einloggen will, wird beileibe nichts automatisch ausgefüllt, höchstens der Username, aber nie und nimmer das Passwort.
    Nach einem Neustart des Firefox sind solche Daten eh alle weg, da ich das alles automatisch beim schliessen löschen lasse.
    Meinen Loginnamen rufe ich immer schnell übers Kontextmenü von Clippings auf, das Passwort kriege ich so gerade noch selbst eingetippt (das wird ganz bestimmt nicht in Clippings abgespeichert).

    Also, wofür brauche ich diese Erweiterung? Ich verstehe den Zweck nicht.

  • Guten Morgen.
    Ich bin nach folgender Anleitung vorgegangen:

    Zitat von madblueimp


    Dazu müsst ihr folgendes tun:

    Öffnet folgenden Ordner:
    --> [EUER PROFILVERZEICHNIS]/extensions/secureLogin@blueimp.net/

    Darin öffnet ihr die Datei "install.rdf" mit einem Texteditor, der UNIX-Zeilenumbrüche (\n) versteht.

    Dort fügt ihr direkt hinter der "optionsURL" folgende Zeile ein:

    Code
    <em>https://blueimp.net/mozilla/update.rdf?itemid=%ITEM_ID%&itemversion=%ITEM_VERSION%&appid=%APP_ID%&appversion=%APP_VERSION%&appos=%APP_OS%</em>


    Wichtig: Statt "em" müsst ihr als Tags "em:updateURL" verwenden.

    Ich habe somit 2! Mal em : updateURL (ohne die beiden Leerzeichen) statt em geschrieben....richtig so?
    Denn bist jetzt funktioniert es leider nicht.

    Greetz
    Cheffi

    edit: ES KLAPPT! :mrgreen::klasse:8) Hat gedauert, bis ich VIM durchschaut habe.

    ich@last.fm

    MacBook Pro//Mac OS X//FF 3.0//TB 2.0.0.14

    2 Mal editiert, zuletzt von Cheffi (11. Februar 2007 um 11:54)

  • Zitat von Miccovin

    kann mir nochmal bitte jemand zusammenfassen, warum ich Secure Login gebrauchen könnte? Der Sinn erschliesst sich mir bisher absolut nicht.

    Wenn ich mich irgendwo einloggen soll, sollen die Formularfelder automatisch ausgefüllt werden? Was genau ist damit gemeint? Bei mir ist das gewiss nicht so. Wenn ich zB dieses Forum besuche, bin ich automatisch eingeloggt, weil im zugehörigen Cookie die Daten stehen. In anderen Foren isses genauso. Wenn ich mich aber mal auslogge, und wieder einloggen will, wird beileibe nichts automatisch ausgefüllt, höchstens der Username, aber nie und nimmer das Passwort.
    Nach einem Neustart des Firefox sind solche Daten eh alle weg, da ich das alles automatisch beim schliessen löschen lasse.
    Meinen Loginnamen rufe ich immer schnell übers Kontextmenü von Clippings auf, das Passwort kriege ich so gerade noch selbst eingetippt (das wird ganz bestimmt nicht in Clippings abgespeichert).

    Also, wofür brauche ich diese Erweiterung? Ich verstehe den Zweck nicht.

    Diese Erweiterung brauchst Du glaube ich nur, wenn Du zum Beispiel für dieses Forum zwei Accounts hast. Denn ich stelle mir genau die gleiche Frage zu dieser Erweiterung wie Du und bin da bisher auch noch nicht so Recht durchgestiegen.

  • Antarex:
    Gleich vorneweg: Der JavaScript-Schutz ist nicht nötig.
    Auch ohne diese Option ist der Login mit SecureLogin sicherer als mit der Standardeinstellung von Firefox, gespeicherte Passwörter automatisch auszufüllen.
    Wenn es allerdings jemand schaffen sollte, euch durch einen manipulierten Link oder eine andere Möglichkeit JavaScript-Code für diese Seite unterzujubeln, könnte er die Anmelde-Daten kurz vor dem Login abgreifen, da sie (ohne die JavaScript-Schutz-Option) vor dem Abschicken des Formulars eingetragen werden.
    Falls ihr die Anmeldeseite über eure Lesezeichen besucht oder sie manuell eingebt, kann euch das aber eigentlich nicht passieren.
    Mit der Option "JavaScript Schutz beim einloggen aktivieren" werden eure Anmeldedaten gar nicht erst in die Formularfelder eingetragen, sondern direkt an die Anmeldeseite geschickt, mit Hilfe interner Firefox-Funktionen und ohne das Login-Formular. Da ihr über die Tooltips der SecureLogin-Icons das Ziel der Anmeldung überprüfen könnt, seit ihr dadurch sogar vor sogenanntem client-seitigem Cross-Site-Scripting-Attacken geschützt.


    Miccovin und Sommerrain:
    Der Sinn der Erweiterung SecureLogin ist es, den Passwort-Manager von Firefox zu erweitern und zwar im Sinne von Sicherheit+Komfort.
    Wenn du den Passwort-Manager also nicht nutzt, um deine Passwörter zu speichern, dann kannst du logischerweise auch mit dieser Erweiterung nichts anfangen.

    Wenn du allerdings den integrierten Passwort-Manager nutzt, dann werden in der Standardeinstellung (signon.prefillForms = true) auf jedem Login-Formular der zugehörigen Domain automatisch Benutzer und Passwort in die Formular-Felder eingetragen.
    Warum das ein Sicherheitsrisiko darstellt, habe ich in vorhergehenden Beiträgen erläutert, hier nochmal der Link zur heise-News:
    Passwort-Manager von Firefox erleichtert Phishern die Arbeit
    Diese Sicherheitslücke beseitigt SecureLogin, in dem der Konfigurations-Wert signon.prefillForms auf false gesetzt wird (so lange SecureLogin aktiviert ist) und somit keine Login-Daten mehr automatisch ausgefüllt werden.

    Und da SecureLogin, wie der Name schon sagt, eine "Login-Erweiterung" ist, brauchst du sie nur im Moment des Einloggens, nicht wenn du schon durch gespeicherte Session-Daten im Cookie eingeloggt bist.

    Der Passwort-Manager selbst ist schon eine Komfort-Bereicherung, da man sich nicht die Zugangsdaten für verschiedene Seiten merken muss, sondern nur das Master-Passwort. Ein Master-Passwort zu verwenden empfiehlt sich, damit die Login-Daten verschlüsselt gespeichert werden können.
    Das Speichern der Zugangsdaten im Passwort-Manager kann zudem auch einen Sicherheitsgewinn darstellen. Denn auf diese Weise kann man komplett kryptische Kombinationen als Passwort verwenden, die man sich sonst nicht auswendig merken könnte.
    Den Komfort des Passwort-Managers erweitert SecureLogin noch einmal, in dem man sich per Tastatur-Kombination (ALT+N) oder per Klick auf Toolbar oder Statusbar Icon einloggen kann.
    Bei mehreren Benutzern für ein Login-Formular wird eine Dialog-Box zur Auswahl präsentiert.

    Der Sicherheitsgewinn durch SecureLogin wird dadurch erreicht, das eine Benutzeraktion nötig ist um die Login-Daten einzutragen, ohne das ein Komfortverlust eintritt.


    Cheffi:
    Wow, gleich am Profi-Unix-Werkzeug versucht. Vim verwende ich selbst eigentlich nur ganz selten.

    Eigentlich ist diese manuelle Änderung auch nicht unbedingt notwendig. Denn die einzige Änderung der Version 0.4.1 zur Version 0.4 ist, das sie eben diese updateURL mitbringt. Aber so könnt ihr immerhin die Funktionalität sicherstellen. Vielen Dank! :)

  • Zitat von Cheffi


    Ich habe somit 2! Mal em : updateURL (ohne die beiden Leerzeichen) statt em geschrieben....richtig so?
    edit: ES KLAPPT! :mrgreen::klasse:8) Hat gedauert, bis ich VIM durchschaut habe.

    tja, die Frage, warum man den gleichen Eintrag zweimal braucht, stelle ich mir auch???

    Firefox 5.0.1 Portabel (Windows 7 - 64bit)

  • Nicht zwei mal der gleiche Eintrag, sondern zwei mal "em:updateURL" statt "em", einmal zum öffnen des Tags, einmal zum schließen des Tags. ;)

    Zur besseren Erklärung:
    Genau so wie auf http://developer.mozilla.org/en/docs/install.rdf#updateURL unter Examples beschrieben, nur mit der von mir angegebenen URL
    https://blueimp.net/mozilla/update.rdf?itemid=%ITEM_ID%&itemversion=%ITEM_VERSION%&appid=%APP_ID%&appversion=%APP_VERSION%&appos=%APP_OS%

    Alternativ kann man auch einfach die neue Version 0.4.1 installieren, da ist die updateURL schon integriert.

  • Zitat von madblueimp

    Nicht zwei mal der gleiche Eintrag, sondern zwei mal "em:updateURL" statt "em", einmal zum öffnen des Tags, einmal zum schließen des Tags. ;)

    ist schon klar ... aber ich hatte den 0.4.1 schon und da ist diese Zeile von dir offensichtlich schon eingetragen. also hätte ich die zeile 2mal gehabt. :roll:

    ne andere Frage: Was macht die Einstellung "Java-Script-Schutz beim Einloggen aktivieren" genau? Und kann es sein, dass diese Einstellung dann stark zu Lasten der Schnelligkeit geht?

    Firefox 5.0.1 Portabel (Windows 7 - 64bit)

  • Zur Option "Java-Script-Schutz beim Einloggen aktivieren":

    Sie basiert darauf, das die Werte bestimmter Eingabefelder des Loginformulars (Checkboxes, Radio buttons, Auswahllisten), sowie die Werte der versteckten Felder (input type="hidden") ausgelesen werden und zusammen mit den Login-Daten direkt an die Login-Seite gesendet wird, die im "action" Attribut des Formulars vermerkt ist.
    Im Prinzip das, was Firefox auch macht, wenn ein Formular abgeschickt wird. Allerdings ohne jemals die Login-Daten in die Formular-Felder einzutragen und ohne das eigentlich Formular abzuschicken (ohne "submit").

    Um sicherzugehen, das man sich auf der richtigen Webseite einloggt, muss man allerdings auch das Ziel des Logins überprüfen, das z.B. im Tooltip der SecureLogin icons angezeigt wird.

    Login-Formulare, die JavaScript-Routinen für den Login-Vorgang benötigen (onsubmit, etc.) funktionieren daher mit dieser Option nicht.
    Auch kann es sein, das bei HTML-Suppe nicht alle Felder, z.B. Submit-Buttons mit type="image" eingelesen werden.
    Eventuell kann es auch Kodierungsprobleme geben.

    Die Option funktioniert also leider nicht mit allen Anmeldeformularen.
    Erfolgreich getestet habe ich sie z.B. mit
    - phpBB-Foren wie diesem,
    - Confixx (Webhosting-Konfigurations-Frontend)
    - Media-Wiki (Wiki-Software für Seiten wie Wikipedia)

    Nicht funktioniert hat aber z.B. die Anmeldung mit aktivierter Option bei
    - studiVZ
    - WordPress
    Ohne aktivierte Option funktioniert die Anmeldung auch bei diesen Seiten.

    Die Option ist jedoch auch nicht nötig.
    Der normale Login-Vorgang ist mit SecureLogin schon sicherer als die Default-Einstellung des Firefox-Passwort-Manager, Benutzer und Passwort automatisch in alle Formulare der gleichen Domain einzutragen.

    Zu Lasten der Schnelligkeit geht die Option nicht.

  • Nabend.

    Zitat von michael815

    tja, die Frage, warum man den gleichen Eintrag zweimal braucht, stelle ich mir auch???

    2! Mal bezog sich auf den Eintrag vor und nach der URL-Adresse! Ich habe diese Änderung ja in der Version 0.4 vorgenommen, nicht in der 0.4.1.

    Greetz
    Cheffi

    ich@last.fm

    MacBook Pro//Mac OS X//FF 3.0//TB 2.0.0.14

  • @ S:I:T "Wand"... immer an der Wand lang, immer an der Wand, immer an der Wand an der Wand entlang... *singt* das war die Nationalhymne der Ossis, bis mer se geholt habbe - verflucht sei der Tag, wo Blumen blühen sollten.


    Vorsicht! Ich bin einer! Sei froh,daß es uns gibt! :wink:

  • Hi,
    habe gerade erst gesehen, das ich noch bei v0.1.4 bin und ja fleissig weiter entwickelt wird :D Also gleich upgedatet auf 0.4.2.
    Habe nu bei Hotmail 3 Gammeladressen, also 3 verschiedene Login Daten. Mit der neuen Version bekomme ich jetzt die Fehlermeldung im Bild. Wenn ich den Haken bei "JavaScript Schutz aktivieren" mache, ist alles schön. Achso, eingeloggt werde ich trotz der Meldung korrekt. Gibt es da eine Erklärung für?

    Ansonsten bin ich nach wie vor total begeistert von der Erweiterung :D


    [Blockierte Grafik: http://kuestennebel.ku.funpic.de/fehler.jpg]

  • Das Auto-Update gibt's erst seit Version 0.4.1, daher werden vorherige Versionen leider nicht automatisch aktualisiert.

    Seit heute gibt es das neue Release 0.5.

    Probier mal die neueste Version und gib mir Bescheid, ob die Fehlermeldung dann auch noch kommt.


    In Version 0.5 gibt es ein paar neue Features:
    - Warnung, falls dies Second Level Domain beim Login gewechselt wird
    - Ausnahmen-Liste für Websites, bei denen der "JavaScript Schutz beim Login" nicht funktioniert