[Erw] Opera Wand (Zauberstab) für Firefox - Secure Login

Mento:
Für das Speichern der Passwörter baut Secure Login auf den in Firefox eingebauten Passwort Manager. Secure Login ändert nur den eigentlichen Login-Vorgang.
D.h. falls Firefox Passwort Manager das Passwort nicht speichern kann, ist es auch für Secure Login nicht verfügbar.

Bei manchen Seiten, welche das Speichern der Passwörter nicht erlauben, hilft ein sogenanntes "Bookmarklet", in diesem Fall "remember password", zu finden unter der folgenden Adresse:
http://www.squarefree.com/bookmarklets/forms.html

Die Zeichenkolonnen, die man auslesen und ein einem Textfeld eingeben muss nennt man Captcha.
Falls eine Login-Webseite so ein Captcha erfordert, muss man dieses Textfeld zuerst ausfüllen und kann sich dann mit Secure Login einloggen.

Ich würde den Website-Betreiber allerdings fragen, warum er solch ein Captcha für jeden Login-Vorgang erforderlich macht? Mal abgesehen davon, das dies Menschen mit Sehbehinderungen ausschließt, bringt es in diesem Fall auch keinen Sicherheitsgewinn. Wenn, dann machen Captcha's meiner Meinung nach eher bei der einmaligen Registrierung Sinn und dann auch nur in begrenztem Maße, da auch Captcha's durch Computerprogramme ausgelesen werden können.

Ratio:
Deine Beschreibung klingt natürlich ziemlich kritisch.
Es ist tatsächlich so, das Secure Login nach dem Laden jeder Seite nachschauen muss, ob
1. Login-Daten für diese Seite im Passwort Manager hinterlegt sind
2. Passende Formularfelder vorhanden sind
Allerdings sind das einfache Abfragen und ich habe sie so implementiert, das möglichst schnell abgebrochen wird:
Zuerst wird im Passwort Manager nachgeschaut, ob es passende Webseiten gibt, jedoch ohne die zugehörigen Passwörter zu entschlüsseln.
Falls ja, werden die Formulare über den DOM-Baum, durchgegangen und passende Formularfelder gesucht.

Insgesamt sollte die von Secure Login erzeugte Last also sehr gering sein.
Ich habe das auch soeben nochmal in einer virtuellen Maschine (256 MB RAM zugewiesen. Pentium-M-Laptop) unter Windows XP SP2 mit Firefox 2.0.0.2 getestet, und konnte keine Performance-Probleme feststellen.
Die Formularfelder wurden für die von dir genannte Beispielseite (computerbase.de) in Sekunden-Bruchteilen erfasst.

Ich kann daher also nur vermuten, das eine Dritte Komponente die hohe Last erzeugt.
Ich würde dir daher raten, Secure Login in einem frischen Firefox-Profil zu testen. Tritt die hohe Last immer noch auf, liegt es vielleicht an einer anderen Software, die ständig aktiv ist (Firewall, Virenscanner, etc.). Allerdings kann ich hier nur Vermutungen anstellen.
An Secure Login sollte es zumindest nicht liegen. Ich verwende die Schnittstellen, die mir Firefox anbietet und versuche immer, alles möglichst performant, ressourcenschonend und stabil zu implementieren.

S.i.T.:
Die Zahl in eckigen Klammern steht für den Formular-Index (steht eigentlich im Text direkt über der Liste der angebotenen Benutzer). Der Formular-Index sollte in den neuesten Secure Login Versionen nur erscheinen, falls es tatsächlich mehrere Login-Formulare auf der Seite gibt.
Ansonsten musst du mir die genaue Seite nennen, damit ich mir die Sache anschauen kann.

Zum Login-Formular bei Vodafone:
Nachdem ich mir den Quelltext der Seite angeschaut habe kann ich dir sagen:

Zitat

Das ist Web-Design/Entwicklung, wie man es nicht machen sollte.

Mal abgesehen davon, das die Seite für die Positionierung des Layouts HTML-Tabellen verwendet, anstatt das mit CSS zu machen, ist das Login-Formular einfach Müll:
Dort wird das Passwort-Feld versteckt und stattdessen ein "Dummy-Textfeld" angezeigt. Erst wenn man den Fokus auf das "Dummy-Textfeld" setzt, wird das eigentliche Passwort-Feld angezeigt und der Fokus dahin verschoben.
Ich frage mich, wer sich solch einen Müll ausdenkt? Abgesehen davon, das das Login-Formular auf diese Weise nur mit aktiviertem JavaScript nutzbar ist bringt das ganze einfach überhaupt nichts! Falls die bei Vodafone denken, das würde irgendeinem Sicherheitsgewinn dienen, sollten sie sich mal einen professionellen Dienstleister suchen, der sich mit Websicherheit auskennt.

In diesem Fall bringt es leider auch nichts, die Vodafone-Seite in die Ausnahmen-Liste aufzunehmen - Secure Login findet die passenden Formular-Felder nicht, weil das Passwort-Feld einfach noch nicht vorhanden ist (nicht angezeigt wird), solange man nicht in das "Dummy-Feld" geklickt hat. Daher kann Secure Login für die Seite keinen Login-Vorgang anbieten - und die Ausnahmen-Liste betrifft nur den Login-Vorgang selbst.

Ich würde dir daher empfehlen, Vodafone eine Nachricht zukommen zu lassen, das ihr Login-Formular "Müll" ist. Kannst ihnen auch gerne einen Gruß von mir ausrichten.

Nachtrag:
Ich habe mal geschaut, ob man hier ein Greasemonkey-Script einsetzen kann, allerdings speichert Firefox Passwort Manager schon den falschen Benutzernamen, nämlich den Wert dieses "Dummy-Feldes" - kann man sehen, in dem man sich die gespeicherten Passwörter anschaut.

michael815:
Vielen Dank für den Hinweis, du meinst bestimmt speziell die Seite http://www.finanzen.net/user/user_uebersicht.asp , dort wird auf der gleichen Seite ein Login-Formular und ein Registrierungs-Formular angeboten.
Ich hatte in früheren Versionen eigentlich eine Abfrage, um Registrierungs- und Passwort-Änderungs-Formulare auszuschließen, allerdings habe ich diese Abfrage wohl bei einer der größeren Änderungen nicht mehr mit einbezogen.

In der nächsten Version 0.6.3, die heute noch freigegeben wird, ist diese Abfrage wieder mit drin und es wird z.B. auf der oben genannten Seite nur noch ein Login-Formular erfasst.

S.i.T.:
Über den Link http://forum.wordpress-deutschland.org/newreply.php?d…quote=1&p=92078 werden tatsächlich zwei Login-Formulare auf der gleichen Seite angeboten. Daher ist es in diesem Fall gewollt, das man eine Auswahl bekommt, mit welchem Formular man sich einloggen will, da sie sich ja unterscheiden könnten (auch wenn das "action-Attribut" in diesem Fall gleich ist).
Ich werde die Hilfe für die nächste Version (0.6.3) noch erweitern, damit dieser Punkt klarer wird.

firetom:
Vielen Dank.

Mittlerweile ist Secure Login auch auf addons.mozilla.org gelistet.
Ich würde mich freuen, wenn ihr die Erweiterung dort bewerten würdet.

Das liegt nicht an einer Änderung des Passwort Managers - das Feature, das Webseiten das Speichern der Passwörter unterbinden können, ist schon länger integriert, ich halte es allerdings selbst auch nicht für sinnvoll.

Du kannst für diese Seiten aber trotzdem die Passwörter speichern lassen:

Zitat

Bei manchen Seiten, welche das Speichern der Passwörter nicht erlauben, hilft ein sogenanntes "Bookmarklet", in diesem Fall "remember password", zu finden unter der folgenden Adresse:
http://www.squarefree.com/bookmarklets/forms.html

Version 0.6.3 freigegeben:

- Registrierungs- und Passwort-Änderungs-Formulare werden nicht mehr als Login-Formulare erfasst
- Die Hilfe wurde erweitert
- Der Homepage-Link der Hilfe-Seite öffnet sich nun in einem neuen Tab
- Die Beschreibung der Erweiterung ist nun lokalisiert (derzeit nur Englisch und Deutsch)
- Der angezeigte Pfad der Sound-Dateien ist nun plattformspezifisch

Panther999:
http://www.squarefree.com/bookmarklets/f…member_password

Ich nehme dann an, das diese Seiten das Attribut "autocomplete=off" nachträglich hinzugefügt haben.

Seit dem Release der Version 0.6.4 (gestern) gibt es jetzt auch ein Changelog mit den Versions-Änderungen (0.1.2 bis zur aktuellsten Version).

Wichtig:
In der neuesten Version gibt es eine Änderung, wo Secure Login die Einstellungen speichert:

Zitat

- The Secure Login preferences branch has been moved from "secureLogin" to "extensions.secureLogin@blueimp.net"

Important notice:
The preference branch has been moved to prevent conflicts with other Firefox extensions or components,
which might happen in the future if the same name is used.
You're old preferences aren't lost but won't be loaded by the new Secure Login version.

To get them back, do the following:
- Shutdown firefox
- In your profile folder, open prefs.js
- Remove lines that contain the new preference string ("extensions.secureLogin@blueimp.net")
- Search for the string "secureLogin" and replace every occurrence with "extensions.secureLogin@blueimp.net"
- Restart firefox, you should now have your old preferences back

Alles anzeigen

Zu deutsch:
Die alten Einstellungen sind nicht weg, sonder nur unter altem Namen vorhanden.
Um sie zurückzubekommen, muss man folgendes tun:
- Firefox beenden
- Im Profil-Ordner prefs.js öffnen
- Alle Zeilen entfernen, in denen die neue Einstellungs-Zeichenkette steht ("extensions.secureLogin@blueimp.net")
- Suchen + Ersetzen von "secureLogin" mit der neuen Zeichenkette "extensions.secureLogin@blueimp.net"
Neustart von Firefox

Das ganze lohnt sich aber eigentlich nur, falls man
a) Keine verwaisten Einträge in der prefs.js Datei mag oder
b) Eine lange Liste von Ausnahmen angelegt hat

Ansonsten kann man mit ein paar Mausklicks die Einstellungen auch wieder manuell herstellen.

Das liegt daran, das Firefox Passwort Manager nur diese beiden Felder speichert.
Schau mal in deine gespeicherten Passwörter, dort wirst du für die Website gawab.com als Benutzernamen nicht deinen Benutzernamen finden, sondern "gawab.com".

So lange Firefox Passwort Manager nicht weitere Felder merkt, kennt auch Secure Login nicht mehr.

In diesem Fall musst du also deinen Benutzernamen von Hand eintippen oder eine Erweiterung wie ConQuery dafür nutzen und kannst dich dann per Secure Login einloggen.

Richtig, es ist genau das gleiche Problem wie bei gawab.com:
Als Benutzername wird hier der "Mitbenutzer" gespeichert (siehe gespeicherte Passwörter).