Dann solltest du es lassen (zu aufwendig, zu kompliziert) und dich mit dem Problem anfreunden, bis der Patch von den Mozilla-Entwicklern in den offiziellen Firefox einfließt. Leider.
[Erw] Opera Wand (Zauberstab) für Firefox - Secure Login
-
madblueimp -
31. Januar 2007 um 20:03 -
Erledigt
-
-
Serwas,
wie kann man denn Secure Login so einstellen
dass es kein Timeout gibt?Hab schon probiert über About Config die Werte zu erhöhen
aber des hilft nichts....ich werde immer ausgeloggt nach ner std.http://www.firefox-browser.de/forum/viewtopi…p=525126#525126
-
Erstmal danke an boardraider für den Benutzersupport.
Zum Passworttest von Robert Chapin (via heise Security) lässt sich noch anmerken, das ein Passwort-Manager, der alle Kritikpunkte umsetzen würde, nicht gerade komfortabel wäre.
Ich halte die Kombination von Firefox Password Manager und Secure Login jedenfalls für einen guten Kompromiss zwischen Sicherheit und Bequemlichkeit:
http://securelogin.mozdev.org/drupal/wiki/Security
Das soll nicht heißen, das es noch Verbesserungspotential für die Sicherheit des Password Managers gibt. Das betrifft aber in erster Linie den in Firefox integrierten Password Manager. Secure Login kümmert sich nur um den Login-Prozess selbst.
Aber das hat boardraider ja schon geschrieben.Wer möchte, das der "Login Manager should not prompt for Master Password if signon.autofillForms is set to false"-Bug in Firefox Password Manager behoben wird sollte sich auf Bugzilla registrieren und dem Bug die eigene Stimme (Vote) hinzufügen.
Zitat von ZweiVierSerwas,
wie kann man denn Secure Login so einstellen
dass es kein Timeout gibt?Hab schon probiert über About Config die Werte zu erhöhen
aber des hilft nichts....ich werde immer ausgeloggt nach ner std.http://www.firefox-browser.de/forum/viewtopi…p=525126#525126
Secure Login hat nichts mit Login-Timeouts zu tun. Dies ist eine Server-seitige Einstellung, bzw. wird durch im Browser gesetzte Cookies festgelegt.
Die "defaultNotificationTimeout"-Einstellung in Secure Login legt die Zeit fest, wie lange Hinweise (Notifications) eingeblendet werden.
Zur Zeit wird diese Einstellung nur für den Hinweis genutzt, wenn man sich aus dem "Master Security Device" ausloggt (Master Passwort Session).Wenn du länger in diesem Forum hier eingeloggt bleiben willst musst du auf der Login-Seite das Häkchen hinter "Bei jedem Besuch automatisch einloggen:" setzen, bevor du dich mit Secure Login einloggst. Dieses Häkchen wird von Secure Login nicht automatisch gesetzt (ist aber mit Autofill Forms möglich).
-
Zitat
Wer möchte, das der "Login Manager should not prompt for Master Password if signon.autofillForms is set to false"-Bug in Firefox Password Manager behoben wird sollte sich auf Bugzilla registrieren und dem Bug die eigene Stimme (Vote) hinzufügen.
Ich find den Bug eigentlich praktisch, so werde ich gleich beim Start des Fx bzw. beim Aufruf der ersten passwortbehafteten Seite zur Eingabe des MP aufgefordert *eg*
Zum Support: Ehrensache, wenn man die Erweiterung selbst nutzt
-
Zitat von madblueimp
Wenn du länger in diesem Forum hier eingeloggt
bleiben willst musst du auf der Login-Seite das Häkchen hinter "Bei jedem
Besuch automatisch einloggen:" setzen, bevor du dich mit Secure Login
einloggst. Dieses Häkchen wird von Secure Login nicht automatisch gesetztSo weit so gut...... geht aber nur auf Seiten wo man einen Haken beim
Anmelden setzen kann - ist dies nicht der Fall flieg ich nach ner std raus.
deaktiviere ich Secure Login auf der Seite wo man keinen Haken setzen
kann bleibe ich eingeloggt solange die Sitzung dauert....Beispiel auf dieser Seite >>>> http://www.wer-kennt-wen.de/error/rights
Im normalzustand >>>> http://www.wer-kennt-wen.de/[Blockierte Grafik: http://www.abload.de/thumb/aufzeichnent0el.png]
-
Hast du den "JavaScript-Schutz beim Einloggen" aktiviert?
Wobei ein Zusammenhang mit dieser Option nur eine Vermutung ist.
Eigentlich kann ich mir nicht vorstellen, das Secure Login etwas mit der Cookie-Sitzungslänge zu tun hat.
Secure Login ändert nur die Art des Login-Vorgangs, sonst nichts. -
lässt sich eigentlich das manuelle einloggen ausschalten? ich versuche die ganze zeit die automatische anzeige des usernames und passwords beim doppelklick in das entsprechende feld auszuschalten... geht das überhaupt?
tolles addon!
-
Weshalb willst du dich denn selbst in der Form beschneiden?
-
wieso sollte das da noch angezeigt werden? reicht doch eigentlich wenn securelogin die verfügbaren nutzer anzeigt!?
-
Warum soll es die Funktion denn nicht mehr geben? Ob du nun nen Doppelklick machst/Tastenkombination nutzt/das Secure-Login-Icon anklickst ist doch gleichgültig.
-
ja stimmt schon... dennoch.. geht das irgendwie???
-
Ad hoc ist mir nichts dergleichen bekannt, wobei eine Erweiterung das natürlich prinzipiell lösen könnte.
-
ja.. nur welche ist die frage..
-
btw@madblueimp, warum taucht bei deiner Signatur Seite free software and open source.... dieser Hinweis bei mir auf:
[Blockierte Grafik: http://s2b.directupload.net/images/user/090128/temp/nk2gk7t2.jpg]?Herbi
-
Ein Blick in deine Erweiterungsliste sollte deine Frage beantworten...
-
das ist mir klar, ich habe diese Erweiterung ja extra deswegen installiert. Aber, es ist ja schon merkwürdig, dass in einer Signatur eine Website auftaucht, die auf der Blacklist steht.
Herbi
-
Wieso merkwürdig? Das ist die Seite des Autors. Er hat sich dafür ein Zertifikat ausstellen lassen, welches wohl nur mit md5 signiert wurde.
Den Fehler hat die CA begangen.Hintergrund:
http://www.heise.de/security/25C3-…/meldung/121005 -
Gianni:
Meines Wissens gibt es keine Konfigurationseinstellung um die Anzeige der gespeicherten Benutzernamen bei Doppelklick auf das Formularfeld zu unterbinden.
Eventuell hängt dieser Umstand aber mit dem folgenden Bug zusammen: https://bugzilla.mozilla.org/show_bug.cgi?id=400680herbi28:
Wie boardraider schon geschrieben hat, gehört das SSL-Zertifikat für blueimp.net zu einer Reihe von Zertifikaten (ca 30% aller HTTPS-Seiten), die von Certificate Authorities mit dem unsicheren MD5-Verfahren signiert wurde.
Es ist daher potentiell kompromittierbar, d.h. Angreifer könnten das Zertifikat, das eigentlich nur für blueimp.net gilt, für einen eigenen Server erstellen.Das heißt aber noch lange nicht, das der Besuch von blueimp.net (oder einer anderen HTTPS-Seite mit unsicherem Zertifikat) per se unsicher wäre. Es kann nur die Verschlüsselung nicht sichergestellt werden, da sich ein Angreifer mit gefälschtem Zertifikat in die Verbindung einklinken könnte ohne das dein Browser eine Fehlermeldung ausgibt.
Damit ist die Seite aber immer noch mindestens genauso sicher wie eine Seite komplett ohne Verschlüsselung.Die SSl-Blacklist bedeutet also in diesem Fall einfach nur, das die Verschlüsselung nicht gewährleistet werden kann, man sich also nicht auf die HTTPS-Verschlüsselung verlassen kann.
Meinen Webosting-Provider habe ich dahingehend schon informiert und eventuell wird das Zertifikat ja vom CA kostenfrei ausgetauscht.
Ansonsten muss ich eben bis zum 03.03. warten, das läuft das Zertifikat sowieso ab und ich erhalte ein neues. -
Zitat
gehört das SSL-Zertifikat für blueimp.net zu einer Reihe von Zertifikaten (ca 30% aller HTTPS-Seiten), die von Certificate Authorities mit dem unsicheren MD5-Verfahren signiert wurde.
Es ist daher potentiell kompromittierbar, d.h. Angreifer könnten das Zertifikat, das eigentlich nur für blueimp.net gilt, für einen eigenen Server erstellen.Ergänzend:
Mit dem Zertifikat von blueimp.net hat es eigentlich gar nichts zu tun, selbst wenn das mit SHA-1 signiert wäre. Der Angriff beruhte darauf, dass sich die Forscher ein eigenes CA-Zertifikat mit einer Signatur eines anderen Zertifikats gebastelt haben. Dass sie die Signatur übernehmen konnten lag daran, dass sie die Schwäche von md5 bei Kollisionsangriffen ausnutzten. Mit dem CA-Zertifikat, dass von einer anerkannten CA signiert wurde, konnten sie sich dann selbst Zertifikate für jede beliebige Domain erstellen. Daher spielt es keine Rolle, ob das Zertifikat von blueimp.net mit md5 oder SHA-1 signiert ist. Die Forscher hätten sich ohnehin ein eigenes ausstellen können.
Entscheiden dabei ist, wie sie den Browser dazu bringen den falschen Server anzurufen bspw. über ARP-Spoofing, DNS-Spoofing oder Pharming. Das setzt aber weitere Schwachstellen oder Gegebenheiten voraus.ZitatDas heißt aber noch lange nicht, das der Besuch von blueimp.net (oder einer anderen HTTPS-Seite mit unsicherem Zertifikat) per se unsicher wäre. Es kann nur die Verschlüsselung nicht sichergestellt werden, da sich ein Angreifer mit gefälschtem Zertifikat in die Verbindung einklinken könnte ohne das dein Browser eine Fehlermeldung ausgibt.
Damit ist die Seite aber immer noch mindestens genauso sicher wie eine Seite komplett ohne Verschlüsselung.Er würde sich nicht "einklinken" im Sinne von mitlauschen (Aufbrechen der Verschlüsselung). Der Angreifer würde die Verbindung von Beginn an zu seinem Server umleiten. Der Verschlüsselung könnte man daher schon vertrauen, nur dem Endpunkt nicht. Bei einem MITM-Szenario (Weiterleitung der Daten zwischen Client und eigentlichem Zielserver) würde eine zweite Verbindung aufgebaut. So dass man nicht davon sprechen kann, dass die ursprüngliche verschlüsselte Verbindung "entschlüsselt" wurde. Sie wurde nur umgeleitet, wobei die einzelnen Kanäle verschlüsselt bleiben.
Siehe auch:
http://www.win.tue.nl/hashclash/rogue-ca/ZitatAny website, whether it is secure (i.e. uses SSL) or not, whether it has an MD5-based, SHA-1-based, SHA-256-based, or any other type of certificate, irrespective of which Certification Authority issued the certificate, can be impersonated, in particular not only genuine websites that have an MD5-based certificate are vulnerable.
ZitatDie SSl-Blacklist bedeutet also in diesem Fall einfach nur, das die Verschlüsselung nicht gewährleistet werden kann, man sich also nicht auf die HTTPS-Verschlüsselung verlassen kann.
Das Beispiel zeigt viel eher, dass die Erweiterung an der Stelle unsinnig ist. Eine Warnung vor md5-Zertifikaten für Clients ist in dem Szenario aus genannten Gründen völlig unnötig und verunsichert nur, wie hier sichtbar.
Viel eher interessant für den Anwender ist Perspectives.
http://www.cs.cmu.edu/~perspectives/
http://www.cs.cmu.edu/~perspectives/md5.html -
Danke für die Erläuterungen. Ich hatte bisher nur den Heise-Artikel gelesen, und der ist nicht ganz eindeutig.
Die Erläuterungen auf http://www.win.tue.nl/hashclash/rogue-ca/ sind aber sehr aufschlussreich, insbesondere der von dir zitierte Text aus Abschnitt 6, "Impact".Nach der Lektüre des Forscher-Berichts denke ich sogar, das der heise-Artikel die Sache verharmlost und in Bezug auf EV-SSL-Zertifikate sogar schlicht falsch ist.
Falls es außer den Sicherheitsforschern jemandem gelungen ist ein Herausgeberzwischenzertifikat zu erstellen würde es meinem Verständnis nach nur helfen die Root-CA des betroffenen Herausgebers aus den Browsern zu entfernen (damit das Herausgeberzwischenzertifikat und vom Herausgeberzwischenzertifikat signierte Zertifikate nicht akzeptiert werden).
P.S.:
Mit "einklinken" meinte ich die Umleitung des Traffics mittels MITM-Szenario. Aber du hast Recht, die Verschlüsselung wird in dem Sinne nicht direkt geknackt. Allerdings landen die Daten ja dennoch im Klartext auf dem Rechner des Angreifers, da die Verschlüsselung ja zwischen Client+Angreifer (mit gefälschtem Zertifikat) und Angreifer+Server (mit echtem Zertifikat) stattfindet.
Ich hätte besser schreiben sollen, das die Identität einer Webseite nicht mehr sichergestellt werden kann. -