[Erw] Opera Wand (Zauberstab) für Firefox - Secure Login

skyworker

Hallo madblueimp

der Hinweis zu dem Secure Tool, wird schon eifrigst gelesen in meinem Forum. Habe jetzt auch noch den direkt link zu blueimp.net mit reingesetzt. Danke für den Hinweis.

Natürlich ist klar, das abspeichern mit PW immer irgendwo Risiko ist. Ich z.b. speicher nie meine Online Banking Daten.

Weitere Sicherheitsaddons sollte auch jeder installieren, wie z.b noScript und besonders das addon, wo man sieht auf welcher Webseite sich man tatsächlich befindet - SpoofStick.

Mach weiterso, gut das es Leute gibt, die Hackern und Pishern das Leben schwer machen.

madblueimp

NoScript ist definitiv eine "Must-have"-Erweiterung, wenn man auf sicheres Surfen Wert legt.
Ist sicherheitstechnisch die wichtigste der von mir genutzten Erweiterungen.
Klar könnte man auch JavaScript einfach abschalten, aber das ist wieder unpraktisch, da es doch zu viele "vertrauenswürdige" Seiten voraussetzen.

Das (mit einem Master-Passwort gesicherte) Abspeichern von langen, zufälligen kryptischen Passwörtern halte ich für ein geringeres Risiko als schwache Passwörter zu verwenden, die durch Brute-Force Methoden in praktikabler Zeit geknackt werden können.
Wenn man sich solche Passwörter auswendig merken kann ist das natürlich noch besser, ich kann mir meine > 50 kryptischen Passwörter mit > 20 Zeichen allerdings nicht merken.

Ich freu mich, wenn ich mit Secure Login einen Beitrag zur Browser-Sicherheit leisten kann. Das hatte ich auch im Sinn, als ich die Erweiterung entworfen habe - Sicherheit ohne Verlust von Komfort.

"Hackern" allgemein will ich das Leben aber nicht schwer machen. Ich verstehe den Begriff eher so wie in der Wikipedia beschrieben:

Zitat

eine Person, die sich daran erfreut, ein tiefgreifendes Verständnis der internen Arbeitsweise eines technischen Systems zu erlangen

Es ist also eher eine Maßnahme gegen Phisher und "Cracker".

madblueimp

Hier meine Antwort auf die E-Mail eines interessierten (deutschsprachigen) Anwenders, ist vielleicht auch für andere interessant:

Zitat

> Hello Mr. Tschan,
> thanks for that very interessting AddOn SecureLogin!
> I would like to test/use it. But how can I really trust?
>
> I'm interessted to know more about the implemenation of SecureLogin.
> Why it does also work without any JS and J?
>
> In wich language it is written and may I (how may I ...) check the code?
>
> It does not warn me, if the URL is changed from a http: form to a https: form.
> [...]

Alles anzeigen

Zitat

[...]
Prima Einstellung, generell sollte man Software nur aus
vertrauenswürdigen Quellen installieren.
Im Falle der Firefox-Erweiterungen ist eine vertrauenswürdige Quelle
z.B. https://addons.mozilla.org.
Die Erweiterungen, die dort gelistet sind wurden von
mozilla-Mitarbeitern getestet.
Secure Login ist dort auch aufgeführt, allerdings zur Zeit in einer
etwas veralteten Version:
https://addons.mozilla.org/firefox/4429/
Secure Login ist wie die meisten Firefox Erweiterungen in JavaScript
(Programm-Code, Logik), XUL (XML-Dialekt,
Oberflächen-Beschreibungssprache) und CSS (Cascading Stylesheets zur
Anpassung des Oberflächen-Designs) geschrieben.
Firefox unterscheidet zwischen JavaScript als Teil von Webseiten und als
Teil von Erweiterungen. Einige Komponenten von Firefox sind selbst in
JavaScript geschrieben.
Daher ist es für Erweiterungen egal ob in den Optionen von Firefox
JavaScript deaktiviert wurde.
Java hat mit Firefox direkt überhaupt nichts zu tun und ist wie Flash
bloß als Plugin eingebunden um Java Applets im Browser-Fenster anzeigen
zu können.
Secure Login ist eine Open Source Software und steht unter der GPL:
http://www.gnu.org/copyleft/gpl.html
Das heißt du darfst dir den Quelltext nicht nur ansehen, sondern ihn
sogar in eigenen Projekten weiterverwenden, so lange die daraus
entstehende Software auch wieder unter der GPL steht.
Firefox-Erweiterungen haben zwar die Endung ".xpi" sind aber einfache
ZIP-Archive. Du kannst sie mit einem geeigneten Packer, z.B. 7-ZIP
(http://www.7-zip.org/de/) entpacken.
Darin enthalten ist unter anderem eine Datei mit der Endung ".jar", auch
wieder ein ZIP-Archiv, das den Programm-Code enthält.
Offizielle Infos über die Entwicklung von Firefox-Erweiterungen findest
du hier:
http://developer.mozilla.org/en/docs/Extensions
Mit Firefox ist es sogar möglich, über eine spezielle URL-Angabe direkt
in den Quellcode einer Erweiterung "hineinzuschauen", hier z.B. die
aktuelle Haupt-Skript-Datei der Secure Login Erweiterung:
<a href="view-source:jar:jar:https://blueimp.net/mozilla/xpi/se…/secureLogin.js">view-source:jar:jar:https://blueimp.net/mozilla/xpi/se…/secureLogin.js</a>
Die Warnung falls vom unverschlüsselten http-Protokoll auf das
verschlüsselte https-Protokoll gewechselt wird kommt nicht wenn man
a) Diese Warnung in den Optionen von Firefox deaktiviert hat
b) Man zum Einloggen mit Secure Login die Option "JavaScript-Schutz beim
Einloggen aktivieren" nutzt.
Die Nachfrage habe ich dort nicht eingebaut weil ich sie nicht für
relevant halte. Es ist ja positiv, wenn die Login-Daten verschlüsselt
übertragen werden.
[...]

Alles anzeigen

skyworker

Hallo madblueimp

nach heutigem weiteren erfolgreichen Testen mit Secure Login

stellt sich mir die Frage, ob dieses addon sehr Speicher Intensiv ist
(Ram Auslastung) Alles i.o. nirgends Fehler doch musste ich feststellen, das mein Arbeitsspeicher seit Benutzung Probleme hat.

Ist dir in diesem Bezug etwas bekannt?

Was kam vor
1. Mein Forex Soft wechselte Schriftstile
2. MusikPlayer ging nicht mehr zustarten, Warnmeldung Sie haben nicht genügend Arbeitsspeicher (Winamp)
3. Firefox wurde immer langsammer und Seitenaufbaus

sonst wie gewohnt, was immer offen war an Soft, deshalb die Frage!

madblueimp

Ich denke nicht, das Secure Login der Grund für deinen gestiegenen Speicherverbrauch ist:
- Secure Login sammelt keine Daten an
- Die von Secure Login während der Laufzeit erzeugten Objekte werden immer wieder dereferenziert, so das sie vom Garbage Collector ohne Probleme weggeräumt werden können.
Eigentlich kann eine in JavaScript implementierte Erweiterung gar nicht zu Speicherproblemen führen, so lange sie nicht Unmengen von Daten ansammelt.
Der Garbage Collector von Firefox JavaScript-Implementierung schafft es meines Wissens sogar, sich gegenseitig referenzierende Objekte als "nicht mehr gebraucht" zu Erkennen.

Da ich ja quasi Dauer-Tester der "Secure Login"-Erweiterung bin (ich habe sie unter anderem entwickelt, weil mir das Feature selber fehlte), wäre mir solch ein Memory-Leak sicher aufgefallen.
Als Student der "Online-Medien" ist mein Browser noch dazu im Dauerbetrieb und ich ziemlich häufig am Rechner.

Generell habe ich bei der Entwicklung der Secure Login Erweiterung darauf geachtet, alles möglichst performant und ressourcenschonend zu implementieren:
- Wenn du dir den <a href="view-source:jar:jar:https://blueimp.net/mozilla/xpi/se…/secureLogin.js">Quellcode</a> anschaust, siehst du z.B. das Konzept der Lazy Initialization.
- Die Methode, welche passende Logins sucht, steigt möglichst schnell aus.
- Werden durch die Menüs neue Fenster geöffnet, wird das vorhandene "Secure Login Objekt" als Parameter übergeben, so müssen die darin referenzierten Objekte nicht neu instanziert werden
- Die Arrays, welche die Login-Daten zwischenspeichern werden immer wieder derefernziert und können vom Garbage Collector weggeräumt werden

Ich vermute daher jetzt mal, das deine Speicherprobleme eine andere Ursache haben.

skyworker

Danke für die ausführliche Antwort

werde das Problem weiterhin beobachten und bei Bedarf berichten, wenn dazu noch was besonderes auffällt. Da ich auch kein Computerneuling bin, weiss ich, wo ich noch achten muss bzw. beachten muss.

Als nächstes schau ich immer mal nach Rambelastung, was so geladen ist bei Tuneup und anderen Progs die ich habe.

Sonst wie gehabt immer noch alles Fehlerfrei mit Secure Login.

Das beste, die Auswahl bei mehreren Zugangsdaten zum Login. Super gemacht!

Das einzige was noch fehlt für mich, Cookies an und ausschalten nach Bedarf so ein addon bzw. das dein Programm es sich mit merken könnte.
Immer über Einstellungen im Firefox ist doch was umständlich, da einige Sites ja das Cookie brauchen.

loshombre

http://www.erweiterungen.de/detail/CookieCuller/
http://www.erweiterungen.de/detail/Permit_Cookies/
http://www.erweiterungen.de/detail/Cookie_Button/

um nur drei zu nennen.

skyworker

Danke Loshombre

für die Links, einfach Cool

endlich einfacher handhaben den Kampf gegen die unerwünschten Cookies

Gruss skyworker

madblueimp

Ich finde diese beiden Erweiterungen für das Cookie Management ganz praktisch:

https://addons.mozilla.org/firefox/2497/
https://addons.mozilla.org/firefox/3587/

skyworker

hallo madbluimp

danke auch für die cookies Tips
ist nun wunderbar alles geregelt

habe an dieser Stelle eine ganz andere Frage, passt zwar nicht zu Secure Login, doch du bist ja guter spezie zu Firefox

Problem:
IE verbannt aus System
Aufgesetzter Brower = AvantBrowser auch deinstall

Nun nutze ich viel MSN Messenger, nachdem ich nun IE Sachen nicht mehr auf System habe, kann ich per klick, erhaltene MSN Hotmails nicht mehr abrufen: Nun die Frage, gibt es eine Möglichkeit, das ich Firefox vorgaukeln kann, das es eine IE Version ist (addon Browser Engine wechseln habe ich, hilft jedoch nicht)damit MSN denkt, ich rufe Mails per IE ab?!

Danke im vorraus für Hilfe.

Gruss Skyworker

Alexxander

Zitat von skyworker

nachdem ich nun IE Sachen nicht mehr auf System habe

Unter welchem Betriebssystem arbeitest Du denn? Der IE ist quasi Bestandteil von Windows. Ihn zu deinstallieren ist weder so ohne weiteres möglich noch ratsam (ihn nach Möglichkeit nicht zu benutzen, jedoch schon ).

Hast Du IE Tab schon probiert? http://www.erweiterungen.de/detail/IE_Tab/
Falls die Erweiterung funktioniert, ist es nebenbei ein Beweis, dass der IE nicht deinstalliert ist. Denn damit benutzt du ihn - allerdings in einem Fx-Tab.

Alexander

Simon1983

Alexxander
Es reicht schon den Arbeitsplatz zu öffnen und eine URL einzugeben. Der Arbeitsplatz "mutiert" dann zum IE :wink: .

skyworker

Hallo Alexxander

ich habe win98 se mit allen sicherheits relevanten updates

irgendwo und irgendwann habe ich mal was gemacht, das IE automatisch öffnen beim klicken von webseites abgeschalten ist. Vorher nutzte ich den Trick iexplore.exe einfach umbenannt in *.sk, lach der hat nie wieder aufgemacht. Muss dazu sagen IE ist für mich ein Schit Browser. Zuviel Sicherheitsfehler!

Den IE Tab habe ich in Firefox, doch das nützt nichts, da MSN direkt mit IE verknpüpft ist, halt Microsoft und ihre Programme. Deswegen ja nach Austricksen des PC/Soft die Frage, ob man das vorgaukeln kann, mit irgendeiner Einstellung in Registry, das eben Firefox auf Mail Account Hotmail zugreift automatisch. Ansonsten geht der iE Tab sehr gut, wenn mal Bedarf dafür ist.

Alexxander

OK, verstanden. Dann sieht es wahrscheinlich schlecht aus:
http://www.firefox-browser.de/forum/viewtopic.php?t=37105

Alexander

@ Simon1983: Ich weiß

@ madblueimp: sorry for highjacking this thread! secure login rocks!

madblueimp

skyworker:

Wie Alexxander schon geschrieben hat:
Der IE ist ein integraler Bestandteil des Windows Betriebssystems - d.h. man kann ihn auch nicht komplett deinstallieren (über die Softwareverwaltung werden ja nur die Verknüpfungen entfernt).

So weit ich das verstanden habe ist dein Problem, das der mit dem MSN Messenger verknüpfte Browser immer noch der IE ist, anstatt Firefox, den du wahrscheinlich ansonsten als Standard-Browser eingestellt hast.

Ob es hierfür eine Einstellung oder eine Registry-Konfiguration gibt, weiß ich leider nicht.
Was du aber machen könntest, wäre einen alternativen Messenger einzusetzen, z.B. Miranda. Miranda ist ein Multi-Protokoll-Chat-Client und beherrscht unter anderem das MSN-Protokoll.

Edit:
Alexxander:
Danke und kein Problem, schweife ja selbst manchmal vom Thema ab. So lange ich keine Fragen zu Secure Login überlese macht das ja nix.

skyworker:
Vielleicht solltest du auch mal dein Betriebssystem aktualisieren - laut http://support.microsoft.com/lifecycle/?p1=6898 ist der Support für Win98SE mittlerweile eingestellt - d.h. auch keine Sicherheitsupdates mehr.
Bei der Gelegenheit könntest du dir ja mal eine der zahlreichen Linux-Distributionen anschauen, z.B. Ubuntu.

skyworker

hallo an alle auf den Thread

also Win98SE alle letzte updates gibs immer noch hier

http://www.nandlstadt.com/win98sp.htm

und wenn man will, ja man kann IE komplett deinstall, habe ein Tool dafür, jedoch nicht ratsam, da leider immer mal gebraucht.

Einen alternativen Messenger kann ich nicht einsetzen, da über MSN alle Geschäfts und Privatkontakte Weltweit laufen. Müssten ja wegen mir alle umstellen, kann ich keinem zumuten.

Auf Linux umzusteigen, bin ich schon sehr lange am überlegen, doch....
wieder alles soanders und einiges Windows-Soft geht ja dort auch nicht mehr.

Danke für euer mitdenken, das Problem scheint sich nicht zulösen, was solls, muss mir was einfallen. Besten Dank an alle für Hilfe!
Skyworker

madblueimp

Zitat von skyworker

Einen alternativen Messenger kann ich nicht einsetzen, da über MSN alle Geschäfts und Privatkontakte Weltweit laufen. Müssten ja wegen mir alle umstellen, kann ich keinem zumuten.

Deswegen habe ich dir ja Miranda empfohlen - damit müssen deine Kontakte nichts umstellen, denn du kannst weiter das MSN-Protokoll benutzen. Du wechselst mit Miranda nicht das Protokoll, sondern nur den Client.
Und in Miranda kannst du Links mit Mozilla Firefox öffnen - womit dein Problem gelöst wäre.

Und falls sich jetzt jemand wundert, was das alles mit Secure Login zu tun hat:
Öffnen sich Links mit Mozilla Firefox, kann man sich auch mit Secure Login einloggen.

P.S.:
Mit einem Multi-Protokoll-Chat-Client wie Miranda oder Gaim kannst du unterschiedliche Chat-Protokolle unter der gleichen Benutzeroberfläche nutzen - mit einer einzigen Kontaktliste.
Auf diese Weise fällt es leichter, weniger verbreitete aber (meiner Meinung nach) bessere Protokolle wie z.B. Jabber einzusetzen, ohne MSN oder ICQ Kontakte auszuschließen.

skyworker

da muss dich doch mal das Miranda abschecken

Hallo Madblueimp

und zuerst ich Ober Überseher, war im Endeffekt ganz einfach, msn.de adresse in ietab firefox extra einstellungen als freigegeben eingetragen, und schon kann ich mich wengistens im account hotmails wieder einloggen. Ja manchmal sieht man Wald vor lauter Bäumen nicht, schit 24 stunden Tag
<wann>man hat ja nix anderes zu TUN!

Ja und auf alle Fälle Secure Login klappt bestens dazu, super Teil!

Speicher Probs sind auch inzw. weg, lag daran, das zuviele addons von Fiorefox (zb. sehr stark adblocks)dank hinweise alexxander, simon und loshombre u.a. User in dem Thread verknüpfter links

Da ist man über 10 Jahre im Netz und man lernt nie aus. Harte Welt.
Gruss Skyworker

cyclefox

1.
Die FF-Passwörter werden verschlüsselt unter Profiles\..\signons2.txt gespeichert.
Evtl. noch zusätzlich in key3.db?

1.1
Diese ändern sich nur einmalig bei neuaufnahme in die liste, jedoch nicht mit änderung
des masterpassworts! Das ist mir nicht sicher genug! Das masterpasswort müsste auch darin
verschlüsselt werden. wird es aber nicht.

1.2
Der verschlüsselte String ist auf ein und dem selben Rechner aber abhängig von der Zeit oder
einem Zufallsgenerator (krypto-seed); denn ein und dasselbe login + passwort ergibt bei identischem
masterpasswort ein anderes verschlüsselungsergebnis.

2.
Wo das Masterpasswort abgespeichert wird ist nicht 100% klar. vermutlich in key3.db. diese
datei wird aber mit jedem sitzungsende neu geschrieben, so dass es nicht so einfach
festzustellen ist.

3.
Das Verschlüsselungsverfahren aller Passwörter ist unbekannt (das ist auch nicht gut).
Ist es wenigstens ein gutes Verfahren? Im Forum habe ich dazu auch nichts gefunden.

4.
der firefox-passwortmanager kommt mit bank-logins nicht klar; somit SecureLogin auch nicht!
er kann nur einfache logins mit einem passwort managen.

5.
wie die kryptographiemodule funktionieren und/oder damit im zusammenhang stehen ist (mir)
völlig unklar. also auch, ob damit eine höhere sicherheit erreichbar wäre.

6.
die sicherheitslücke auf grund derer securelogin u.a. wohl entwickelt wurde, lässt nicht
gerade auf eine sicherheitsrelevant hochwertige entwicklung schliessen. der login-prozess bleibt
auch noch mit securelogin angreifbar: sobald ein krimineller hacker zugriff auf die Erweiterungs-
datei erlangt (ich habe mir den Source angesehen), ist es ein leichtes die Erweitrung selbst im
Source so zu ändern, dass z.B. trotz abweichender URL zu der im Passwortmanager gespeicherten URL
des passworts an eine pishing-seite übergeben wird. dies muss dann selbst
natürlich nochmals verschleiert werden (um zeit zu gewinnen). Z.B. würde man dem Anwender nach
wie vor die richtige URL in der Statuszeile anzeigen, tatsächlich aber eine andere verwenden,
oder lediglich zusätzlich. aber grundsätzlich sind die firefox-erweiterungen die in javascript
geschrieben sind angreifbar,
sobald deren source geändert werden kann. das drama dabei ist, das die angegriffene erweiterung trotz,
Abschaltung von JavaScript (auch mit noskript (=> java-skript "abgeschaltet"))
immer noch funktioniert, weil erweiterungen ja
sonderrechte geniessen. Es ist auch sehr viel einfacher javascript source zu manipulieren als
binärcode (exe, dll). das ist ein grundsätzliches problem von interpretiertem code; und damit sind
alle Erweiterungen dieser Art ein zusätzliches Sicherheitsproblem, weil sie sehr einfach zu patchen
sind.

7. Die Passworte liegen in den dazu relevanten Erweiterungen im JavaScript-Arbeitspeicher im
Klartext vor.

Mein Fazit dazu:
um wirklich sicher zu sein, müsste man stets auch den Source der Erweiterungen (nicht nur von
securelogin) vor dem Login überwachen. Z.B. mittel Prüfsummen und/oder Backups der jar-Dateien.
Wenn man ein hohes Sicherheitsbedürfnis hat sollte man das von Zeit zu Zeit mal machen. Ein Viren-
scanner würde eine Sourcecodeänderung nämlich nicht erkennen! Ich habe beispielsweise auch die
Tasten-kombination verändert, denn auch ALT-N ist ja vorhersagbar und können von aussen abgesetzt
werden, so das die anmeldung wie ohne securelogin sofort erfolgt.

Generelles Fazit:
- mir war es wichtig mehr klarheit über die punkte zu erlangen; und ich denke es ist wichtig, dass
auch Ihr diese Dinge wisst.
- leider konnte ich das verschlüsselungsverfahren von FF nicht herausfinden.
- Für "unwichtige" logins ist securelogin trotzdem eine schöne sache.
- man achte immer auch auf den im tooltip angezeigte URL!
- Am wichtigsten ist meines Erachtens, dass die Kommunktion / die Anmeldung auf der richtigen Seite
erfolgt. Dazu sollte man sich immer über "Seiteninformationen" das Zertifikat, die Zertifizierungsstelle
und den Inhaber überprüfen. Dabei dürfen keine FF-externen oder interne Keylogger aktiv sein.
Ich hoffe ja, das wenigstens die Zertifikateanzeige im FF so geschütz ist, dass nich auch noch
diese durch Erweiterungen verändert werden kann. Das wäre dann nämlich der Super-Gau.

7.
Noch eine Anmerkung zu einem anderen Tool, dem Passwort Exporter:

http://www.firefox-browser.de/forum/viewtopi…p=358312#358312
p.s.: damit hat securelogin nichts zu tun. ist aber auch sicherheitsrelevant.

madblueimp

Zu 1. bis 3. und 5. empfehle ich dir die folgenden Links:
http://kb.mozillazine.org/Signons.txt
http://kb.mozillazine.org/Key3.db
http://www.mozilla.org/projects/secur…security_device
http://developer.mozilla.org/en/docs/Category:Security
http://developer.mozilla.org/en/docs/NSS_reference
http://www.mozilla.org/projects/secur…ons.html#crypto

Der zuletzt aufgeführte Link führt direkt zum C++ Source-Code der Kryptgrafischen Funktionen.

Das Verschlüsselungs-Verfahren ist also nicht unbekannt - Firefox ist schließlich eine Open Source Software.
Ich habe mir die Implementierung jedoch nicht näher angeschaut, meine C++ Kenntnisse sind nicht sehr weit fortgeschritten.

Es gibt jedoch andere, die das getan haben:
http://nagmatrix.50webs.com/article_firepassword.html
http://nagmatrix.50webs.com/article_firemaster.html
Das Erste (firepassword) ist eine Software zur Entschlüsselung der gespeicherten Passwörter - dazu benötigt sie auch das Master-Passwort.
Das Zweite (firemaster) ist eine Software zur Wiederherstellung des Master-Passworts - dies wird mit Hilfe von Brute Force und "Wörterbuch"-Attacken durchgeführt.

Brute Force-Methoden sind bei ausreichender Zeitspanne immer erfolgreich.
D.h. letztendlich lässt sich jede Verschlüsselung knacken, wenn man nur genügend Zeit dafür aufbringt.
Falls die Verschlüsselung jedoch stark genug ist, dann lässt sie sich nicht in praktikabler Zeit knacken.
Der größte Knackpunkt ist hierbei ein schwaches Master-Passwort.
Ist das Master-Passwort kryptisch (Buchstaben in Groß-/Kleinschreibung, Zahlen, Sonderzeichen) und lang genug, dann ist die Verschlüsselung praktisch nicht zu knacken.

Man hört manchmal, das Verschlüsselungs-Verfahren "geknackt" worden sind und als nicht mehr sicher gelten - meist ist der Grund der, das jemand herausgefunden hat, wie man die Zeit, die z.B. die Brute-Force-Methode benötigt, drastisch reduzieren kann (wenn z.B. Kollisionen gefunden wurden).
siehe hierzu auch:
http://de.wikipedia.org/wiki/Md5
http://de.wikipedia.org/wiki/Hash-Funktion
http://de.wikipedia.org/wiki/Kollisionsfreiheit

Über Firefox kryptografische Funktionen habe ich solch eine Meldung noch nicht gehört - ich nehme auch an, das solch ein Fehler schnellstmöglich behoben werden würde.

Insgesamt gehe ich also davon aus, das Firefox Verschlüsselungs-Verfahren bei Einsatz eines ausreichend sicheren Master-Passworts als sicher gelten kann.

Zu 4.:
Firefox Passwort Manager kommt mit Bank-Logins klar (und damit auch Secure Login) - siehe:
http://www.firefox-browser.de/forum/viewtopi…tart=180#356055

Zu 6.:
Die Sicherheitslücke, die mit ein Grund zur Entwicklung der Secure Login Erweiterung war, haben die Firefox-Entwickler mit der Version 2.0.0.2 behoben, in dem nun auch das form action Attribut mitgespeichert und überprüft wird.
Fehler gibt es in jeder Software und ich bin mir ziemlich sicher, das die Firefox Entwickler sehr auf die Sicherheit ihrer Software bedacht sind.

Es gibt einen Unterschied zwischen JavaScript-Code auf Webseiten und lokalem JavaScript Code von Erweiterungen und Firefox-Komponenten:

Zitat

Also note, when surfing web pages which use JavaScript, that JavaScript code is executed within a sand box, and does not have access to Mozilla's internal objects. Only those objects that are exposed by DOM (Document Object Model) are accessible.

http://www.mozilla.org/hacking/coding…tion.html#cppjs

Wie auf der Projektseite beschrieben, versucht Secure Login vor Phishing und cross-site scripting (XSS) zu schützen - also JavaScript-Code, der von Webseiten geladen wurde.

Um den Secure Login Quellcode zu manipulieren, müsste ein Angreifer Zugriff auf das Dateisystem des Benutzers haben.
Wenn ein Angreifer einmal das erreicht hat, gibt es weitaus mehr Möglichkeiten um Passwörter abzugreifen als den Quellcode einer Firefox-Erweiterung zu manipulieren.

Verschlüsselung kann nur davon schützen, das ein Angreifer vorhandene Passwörter nicht einfach auslesen kann, falls z.B. das Laptop des Anwenders gestohlen wurde.
Sobald ein Angreifer das System manipulieren kann und der Anwender das nicht merkt wenn er sich das nächste mal an seinem System einloggt, sind keine seiner Daten mehr sicher.

Auch Binärcode lässt sich manipulieren. Vor Code-Manipulation schützt in diesem Fall nur eine Signierung - was im Falle der Erweiterungen und des JavaScript-Codes zwar auch möglich, aber derzeit nicht praktikabel ist.
Signierte Firefox-Erweiterungen hätten den Vorteil, das man bei Download und Installation der Erweiterung ihre Vertrauenswürdigkeit und Integrität sicherstellen könnte (wenn man dem Inhaber und dem Aussteller des Zertifikats vertraut).

Zu 7.:
Alle verschlüsselten Daten liegen im Arbeitsspeicher irgendwann in entschlüsselter Form vor wenn man sie entschlüsselt nutzt - das liegt in der Natur der Sache.
Und Login-Daten für HTTP-Formulare müssen vor der Übertragung entschlüsselt werden.
Das gilt auch für per HTTPS übertragene Daten. Diese werden zwar wiederum verschlüsselt übertragen, jedoch wird dazu der "Public Key" des Webservers verwendet, und nicht der lokale Schlüssel aus der key3.db Datei.

Man muss bei diesem Thema ganz klar zwischen Websicherheit und der lokalen Sicherheit und Integrität des Betriebssystems unterscheiden!

Vollständige Sicherheit ist meiner Meinung nach nicht erreichbar.
Sehr nahe kommt man der absoluten Sicherheit, wenn man sein gesamtes Betriebssystem verschlüsselt.
Aber auch dann wären durch physischen Zugriff Manipulationen an der Hardware möglich.

Mir reicht es, das meine Daten-Partition verschlüsselt ist - siehe https://blueimp.net/linux/howto/encryption.txt
Das schützt mich nicht davor, wenn jemand mein Betriebsystem manipuliert, ich dies nicht merke und mich wieder einlogge und das Passwort zur Verschlüsselung eingebe.
Es reicht aber, das ein gestohlenes Laptop oder eine gestohlene Festplatte nicht auch gleichzeitig bedeutet, das meine persönlichen Daten gestohlen wurden.

Ein gesteigertes Sicherheitsinteresse ist aber auf jeden Fall zu begrüßen - Vielen Dank daher an cyclefox für die Anmerkungen.