[Erw] Opera Wand (Zauberstab) für Firefox - Secure Login

Es gibt zu den Secure Login Lesezeichen einen Eintrag in der Hilfe:

Zitat

Secure Login Lesezeichen ermöglichen es Ihnen sich aus den Lesezeichen heraus auf einer Webseite einzuloggen. Mit einem Secure Login Lesezeichen müssen Sie weder auf eine Symbolleisten-Schaltfäche klicken noch ein Tastaturkürzel betätigen - der Aufruf des Lesezeichens genügt um Sie automatisch einzuloggen.

Um die Secure Login Lesezeichen nutzen zu können müssen Sie sie in den Einstellungen von Secure Login aktivieren. Über das Secure Login Extras-Menü oder das Kontext-Menü des Statusleisten-Symbols können Sie die aktuelle Login-Seite als Secure Login Lesezeichen hinzufügen.

Secure Login Lesezeichen sind ganz normale Lesezeichen. Der einzige Unterschied ist der spezielle Anker '#secureLoginBookmark' welcher als Suffix an die Login URL angefügt wird. Dieser Anker bewirkt das der Login-Vorgang für die aufgerufene Seite automatisch ausführt wird.

Zitat von ReVox

Einfach genial die Erneuerung

Dankeschön.

Die grundlegende Idee kam wie schon bei einigen Features durch das Benutzer-Feedback (wie auf diesen Foren).
Ich wurde schon ein paar mal gefragt, ob es nicht möglich wäre die Logins aus einer Liste auszuwählen und dann direkt die Seite aufzurufen und den Login-Vorgang zu starten.
Darauf hatte ich bisher immer geantwortet, das dies nicht möglich sei, da Secure Login auf Firefox Passwort-Manager aufbaut und dieser nicht die komplette Login-URL speichert.
Und letztens kam mir dann plötzlich die Idee mit den Lesezeichen (ich glaube beim Essen :D).

Zuerst wollte ich die URL's über einen bestimmten, auswählbaren Lesezeichen-Ordner identifizieren. Leider hat sich dann herausgestellt, das dieser Vorgang zu aufwändig wäre - zumindest bis Firefox 3, der mit Places einen etwas besseren Zugang bietet - unter Firefox 2 hätte ich über RDF-Quellen iterieren müssen.

Die Überprüfung des URL-Ankers war aber auch für Firefox 3 die bessere Idee, da Nutzer somit nicht auf einen bestimmten Ordner festgelegt sind und die Überprüfung nur einen einfachen String-Vergleich erfordert.
Schön ist auch, das Secure Login Lesezeichen ganz normale, gültige URL's sind - den Anker #secureLoginBookmark gibt es zwar auf den Login-Seiten nicht, allerdings kann es auch keine Login-Seite geben welche einen Anker in der URL benötigt.

Einen Nachteil gibt es allerdings:
Der Link muss nicht in den Lesezeichen vorhanden sein, dadurch kann er auch auf einer Webseite stehen.
D.h. jeder aufgerufene Link zur Login-Seite (für welche Passwörter im Passwort-Manager hinterlegt sind) mit dem Secure Login Lesezeichen Anker löst den Login-Vorgang aus.
Natürlich greifen hier trotzdem die Sicherheitsmaßnahmen von Secure Login und Firefox:
Vergleich der Login-URL-Domain mit der aktuellen Domain sowie der gespeicherten Login-URL mit der des Formulars (letzteres nur Firefox 3), keine Eingabe der Login-Daten in das Formular bei aktiviertem JavaScript-Schutz (Schutz vor Cross-Site-Scripting).
Natürlich kann der Login-Vorgang nur durchgeführt werden wenn es im Passwort-Manager hinterlegte Daten dafür gibt.
Im Prinzip ist das aktivieren der Funktion nicht per se unsicher - allerdings ist Secure Login dann auch nicht mehr unbedingt sicherer als das Verhalten von Firefox Passwort-Manager die Login-Daten automatisch einzutragen.

Eine Abhilfe für den oben genannten Nachteil gibt es aber auch wiederum:
Der SecureLogin-Anker lässt sich über about:config konfigurieren. Das Menü zum Hinzufügen von Secure Login Lesezeichen berücksichtigt die Einstellung. Wenn man hier einen individuellen Anker wählt, z.B. #sl35REGrgg, kann man das Risiko des ungewollten Auto-Logins wieder weitgehend ausschließen - wer den individuellen Anker nicht kennt kann auch keinen Link damit erstellen.

Eventuell wird der Secure Login Lesezeichen Anker in einer der nächsten Versionen auch standardmäßig zufällig erzeugt.
Vielleicht sind meine Gedanken in der Hinsicht aber auch etwas zu paranoid.

Secure Login zeigt immer dann einen Auswahl-Dialog an wenn es
a) Mehrere gespeicherte Benutzer gibt
b) Mehrere Formulare auf der gleichen Seite gibt
Das zweite ist eigentlich nur erforderlich, falls die Login-Ziel-URL unterschiedlich ist, oder sich die Formularfelder unterscheiden.
Ich werde dahingehend wahrscheinlich für die nächste Version Verbesserungen einfließen lassen.

Zitat von marcoon

Auf http://www.kicker.de/login gibt es 2 Login-Felder, allerdings lässt sich von beiden das Passwort nicht mit dem Passwortmanager abspeichern und somit auch nicht mit Secure Login nutzen? Woran kann das liegen bzw kann man das irgendwie lösen?

Wurstwasser hat die Frage schon beantwortet und lag mit seiner Vermutung richtig.
Die Antwort auf die Frage findest du aber auch in der Secure Login Hilfe unter FAQ.

Zitat von marcoon

Danke für euren Lösungsvorschlag.

Leider funktioniert er aber nicht

Doch es funktioniert - habe es gerade mit dem Bookmarklet getestet.
Nach dem du kicker.de aufgerufen hast rufst du das Bookmarklet auf.
Damit das Bookmarklet funktioniert muss JavaScript für kicker.de erlaubt sein.
Danach gibst du deine Login-Daten ein und klickst auf Login.
Daraufhin sollte dich Firefox Passwort-Manager fragen, ob du die eingegebenen Login-Daten speichern willst.
Wenn du wieder ausloggst kannst du dich mit Secure Login einloggen.

Zitat von cubefox

nur damit du es auch mitkriegst:
http://www.firefox-browser.de/forum/viewtopic.php?t=55839

Danke für den Hinweis.

Zitat von marcoon

Mit dem Bookmarklet hat es auch bei deaktiviertem NoScript bei mir bei mehrmaligem Versuch nicht funktioniert. Habe es jetzt aber noch ein zweites Mal mit der Erweiterung versucht - dieses Mal überraschenderweise mit Erfolg. Vielen Dank für deine Hilfe

Seltsam - aber so lange es jetzt funktioniert.

Das ist ein Bug des Login Managers von Firefox 3 - siehe
Bug 400680 – Login Manager should not prompt for Master Password if signon.autofillForms is set to false