Sicherheitsloch Passwort-Manager

    Toll Heise *grmpf*

    Aus einem alten Problem, dass aus bestimmten Gründen nicht vollständig gepatcht wurde, machen die einfach ne neue Meldung über die Schwachstelle. So ein Schwachfug...

    Zitat von Global Associate

    .....das fast so gut, hättest Du Dir sparen können


    Das war natürlich vergleichende Werbung. ;)
    Tatsächlich ist Secure Login Roboform in diesem Fall sicherheitstechnisch noch einen Schritt vorraus, da die Login-Daten überhaupt nicht in die Formular-Felder eintragen werden müssen, sondern sie direkt an die Login-Seite übertragen werden können (das ist die Option "JavaScript-Schutz beim Einloggen aktivieren").

    Aber es gibt auch einen Vorteil den Roboform gegenüber SL hat:
    Mit Hilfe der Passcards kann man anscheinend mit einem Klick die Login-Seite aufrufen und den Login-Vorgang starten.
    Das kann SL noch nicht. So bald Firefox Password Manager sich jedoch die komplette Login-URL merkt kann ich das auch für Secure Login implementieren. :)

    madblueimp stellte folgendes dar:

    Zitat

    Tatsächlich ist Secure Login Roboform in diesem Fall sicherheitstechnisch noch einen Schritt vorraus, da die Login-Daten überhaupt nicht in die Formular-Felder eintragen werden müssen, sondern sie direkt an die Login-Seite übertragen werden können (das ist die Option "JavaScript-Schutz beim Einloggen aktivieren").

    Kann ich für jeden unterschreiben, der auf einen PW-Manager angewiesen ist und somit die PW- und Formular-Verwaltung (Form-Filler) ausser Hand geben möchte oder muss. Roboform lässt sich inzwischen in den FF als Erweiterung integrieren, soweit ich hier bisher informiert bin.

    Jeder PW-Manager erfordert, meiner Ansicht nach, einen Vertrauensvorschuss bezüglich seines Zweckbindungsgrundsatzes. Open-Source hin oder her - Roboform geht, meiner Meinung nach, bei der verschlüsselten und externen PW-Eingabe, bzw. bei sicherheitsrelevanten Übertragungen der verschlüsselten Passwörter in solche Formulare hinein (über 3DES Block Cipher) immer noch professioneller vor, als die integrierten PW-Manager der einzelnen Browser selber, ohne hierbei werbewirksam werden zu wollen. Die Grundsatzfrage dabei ist bloss, von wo an, ab wann und wie genau verschlüsselt wird.


    Oliver

    Frage mich jetzt, was genau du damit unterschreiben möchtest. ;)
    Ich sprach mich ja für Secure Login und gegen Roboform aus. Die "JavaScript-Schutz Option" hat ja nur SL, nicht Roboform.

    Roboform gibt es zwar als Erweiterung für Firefox, funktioniert jedoch trotzdem nicht ohne das zugehörige Windows-Programm.

    Und ich denke auch, das die Network Security Services des Mozilla Security Projects durchaus professionellen Ansprüchen genügen.

    Und den "Vertrauensvorschuss bezüglich seines Zweckbindungsgrundsatzes" kann man meiner Meinung nach eher Open Source Software zuordnen - bei einer Closed Source Software weißt du schließlich nie, ob es nicht noch ein geheimes Master-Passwort oder eine andere Hintertür gibt.

    madblueimp fragte:

    Zitat

    Frage mich jetzt, was genau du damit unterschreiben möchtest. [...] Die "JavaScript-Schutz Option" hat ja nur SL, nicht Roboform.


    Wollte hier bloss ´ne indirekte Werbung für Dich schalten. ;) - RF ist eigentlich nicht auf JS angewiesen.

    Secure-Login arbeitet gemäss meiner Erfahrungen innerhalb einer XML-Http-Request / (Ajax) Umgebung und setzt somit auf der Web-Browser-Ebene (OSI-5 Schicht) auf. Secure-Login müsste daher, bezüglich der Gefahren die das Internet in Bezug auf Übertragungen der Passwörter bieten kann, eben durch solche unsicheren Übertragungswege auch verwundbar sein. Das Thema wurde hier, soweit ich mich erinnern kann, bereits in der Vergangenheit leidenschaftlich unter Euch ausdiskutiert.

    Roboform dagegen operiert als separate Anwendung noch eine Stufe tiefer, und ist somit Web-Browser-Unabhängig - ohne mögliche JS- oder Cross-Sites-Manipulationen, bzw. u.U. verfälschbarer URL-Prüfungen.

    Sowohl Secure-Login als auch Roboform sind zwei hervorragende PW-Manager - sie entspringen jedoch, meiner Ansicht nach, bezüglich ihrer unterschiedlichen Ideologien und Arbeitsweisen auch zweier verschiedener Welten.

    madblueimp
    Meinst Du nicht auch, dass man mit Deinen Kenntnissen qualitative Progs. nicht vorteilhafter auf System-Ebene und dennoch FF-eingebunden entwickeln könnte?


    Oliver

    Zitat von Oliver222

    Wollte hier bloss ´ne indirekte Werbung für Dich schalten. ;)


    Das ist nett. :)

    Zitat von Oliver222

    RF ist eigentlich nicht auf JS angewiesen.


    Die "JavaScript-Schutz Option" dient zum Schutz von durch Cross-site-scripting-Lücken eingeschleustem JavaScript-Code - davon ist auch Roboform betroffen, sobald die Login-Informationen in ein manipuliertes Formular eingetragen werden.

    Ich zitiere mal aus der Hilfe von Secure Login:

    Zitat

    JavaScript-Schutz beim Einloggen aktivieren
    Falls diese Option aktiviert ist, werden die Login-Daten nicht in die Formular-Felder eingetragen und das Formular nicht abgeschickt. Die Login-Daten werden stattdessen mit internen Firefox-Methoden an die Login-Seite gesendet.

    Um auch die Manipulation des "action"-Attributs zu erkennen (denn dieser Wert wird ja in jedem Fall benötigt) gibt es auch noch die folgende, standard-mässig aktivierte Option:

    Zitat

    Nachfragen, falls beim Login die Domain gewechselt wird
    Falls diese Option aktiviert ist, wird die Second-Level-Domain (z.B. example.org) der Login-Website mit der Second-Level-Domain der aktuellen Seite verglichen. Falls die Domains nicht übereinstimmen, wird ein Bestätigungs-Dialog präsentiert.

    Zitat von Oliver222

    Secure-Login arbeitet gemäss meiner Erfahrungen innerhalb einer XML-Http-Request / (Ajax) Umgebung und setzt somit auf der Web-Browser-Ebene (OSI-5 Schicht) auf.


    Ich hoffe du fühlst dich jetzt nicht angegriffen, aber ich glaube du musst dir das OSI-Modell noch einmal anschauen - wahrscheinlich ist das Thema bei dir schon länger her als bei mir. ;)
    Das HTTP-Protokoll ist schon Teil der 7ten Schicht, der etwas missverständlich bezeichneten "Anwendungsschicht". Tatsächliche Applikationen wie der Browser und enthaltene Erweiterungen liegen darüber und sind schon gar nicht mehr Teil des OSI-Modells.

    Zitat von Oliver222

    Secure-Login müsste daher, bezüglich der Gefahren die das Internet in Bezug auf Übertragungen der Passwörter bieten kann, eben durch solche unsicheren Übertragungswege auch verwundbar sein. Das Thema wurde hier, soweit ich mich erinnern kann, bereits in der Vergangenheit leidenschaftlich unter Euch ausdiskutiert.

    Roboform dagegen operiert als separate Anwendung noch eine Stufe tiefer, und ist somit Web-Browser-Unabhängig - ohne mögliche JS- oder Cross-Sites-Manipulationen, bzw. u.U. verfälschbarer URL-Prüfungen.

    Sowohl Secure-Login als auch Roboform sind zwei hervorragende PW-Manager - sie entspringen jedoch, meiner Ansicht nach, bezüglich ihrer unterschiedlichen Ideologien und Arbeitsweisen auch zweier verschiedener Welten.


    Da muss ich dir jetzt widersprechen - Secure Login und Roboform teilen in diesem Fall die möglichen Angriffspunkte.
    Cross-site-scripting und URL-Manipulation ist z.B. für beide Applikationen ein Thema - das kannst du z.B. mit dem folgenden Formular testen:
    http://reeel.de/login.xhtml
    Natürlich hilft es auch, JavaScript zu deaktivieren, aber gerade bei vertrauenswürdigen Seiten, die Login-Seiten ja meist sind, ist JavaScript aktiviert (und leider auch manchmal nötig).

    Der Übertragungsweg ist für beide Passwort-Manager letztendlich der gleiche - über den Browser. Im Prinzip entzieht sich die Sicherheit der Passwörter den Managern, sobald sie aus dem verschlüsselten "Safe" herausgenommen und in das Formular eingetragen wurden.
    Die weitere Sicherheit der Daten muss vom Browser sichergestellt werden, bzw. natürlich auch vom Server (Schutz vor XSS, SSL/TLS-Verschlüsselung, etc.).
    Hier kommt dann auch der Vorteil von Secure Login und der "JavaScript-Schutz-Option" zum tragen - die Formular-Daten werden ja in diesem Fall gar nicht in das Formular eingetragen und sind somit sicherer vor Cross-site-scripting.
    Übrigens könnte Roboform diesen zusätzlichen Schutz auch implementieren - obwohl, kopieren sollten sie ihn nicht, denn dann müssen sie ihre Software unter die GPL stellen. :P

    Meiner Meinung nach hat ein externen Passwort-Manager keinen Vorteil vor einem in den Browser integrierten Passwort-Manager. Die Passwörter müssen so oder so über HTTP (oder HTTPS oder FTP) übertragen werden - und hier ist dann auch der größte Angriffspunkt, den alle teilen.

    Übrigens verwende ich auch eine Art "externen Passwort-Manager" (genaugenommen verschlüsselte Verzeichnisse innerhalb einer verschlüsselten Partition). Dort bewahre ich einige vertrauliche Informationen auf, neben Zugangs-Daten auch andere Informationen, die nichts mit Web-Passwörtern zu tun haben.


    Zitat von Oliver222

    Meinst Du nicht auch, dass man mit Deinen Kenntnissen qualitative Progs. nicht vorteilhafter auf System-Ebene und dennoch FF-eingebunden entwickeln könnte?


    Wie gesagt, ich sehen keinen wirklichen Vorteil für einen separaten Passwort-Manager was Web-Passwörter betrifft.
    Falls ich meine Meinung ändern sollte, dann würde ich das sicher mit Java6 (Java ist Plattform-Unabhängig), als Java Webstart Applikation (gutes Deployment und Update-Management) und mit Swing-Oberfläche (Swing integriert sich seit Java6 gut in das Look&Feel des OS) entwickeln. :D

    Aber eigentlich bin ich ja Webentwickler und kein Anwendungs-Entwickler. ;)

    madblueimp schrieb:

    Zitat

    [...]Das HTTP-Protokoll ist schon Teil der 7ten Schicht, der etwas missverständlich bezeichneten "Anwendungsschicht". Tatsächliche Applikationen wie der Browser und enthaltene Erweiterungen liegen darüber und sind schon gar nicht mehr Teil des OSI-Modells.


    Da hast Du Recht - ich hatte mich diesbezüglich geirrt...


    Oliver

    Mir ist genau das passiert. Als ich heute morgen meine emails anschauen wollte, hatten sich die Passwörter für meine beiden Accounts geändert und für mein skype-Profil ebenfalls. Für googlemail ist es nicht so tragisch: in 5 Tagen kann ich mir die Sicherheitsfrage stellen lassen und bekomme dadurch hoffentlich wieder zugang zu meinen Kontaktdaten etc.
    Aber was mache ich bzgl. meinem web.de-Konto? Weiß jemand, wie ich wieder zugriff bekomme?
    Und vor allem: wie vermeide ich, dass in Zukunft Fremde Kontrolle über meine Passwörter haben? Nie mehr den Passwort-manager benutzen?
    Mel

    P.S. Heut morgen habe ich erst mal vor Wut geheult

    Was genau ist dir passiert?

    Der Passwortmanager des Fx soll dafür verantwortlich sein, dass du den Zugriff auf verschiedene Seiten verloren hast?

    Du unterstellst google und web.de dass sie eine XSS-Schwachstelle haben?

    Ich denke eher, dass du dir Malware eingefangen hast, aber was hat das dann mit dem Fx zu tun?

    melpmelp klagte:

    Zitat

    P.S. Heut morgen habe ich erst mal vor Wut geheult

    Na, nun übertreibe mal nicht gleich - wir arbeiten hier fachbezogen und nicht theatralisch... ;)


    melpmelp stellte darüberhinaus dar:

    Zitat

    [...]Als ich heute morgen meine eMails anschauen wollte, hatten sich die Passwörter für meine beiden Accounts geändert und für mein Skype-Profil ebenfalls.

    Wer genau könnte denn Deine sensitiven Zugangswörter ausserhalb Deines eigenen Machtbereiches verändern? Mit PW-Managern hat das nicht viel zu tun. Ich glaube daher eher, Du verwechselst hierbei Ursache und Wirkung bzw. Verwaltung.

    Es wäre jedoch denkbar, dass Du Dir bereits im Vorfeld u. U. einen Trojaner auf Basis eines Keyloggers eingehandelt hattest, der Deine bisherigen PW´s bereits extern übermittelte und somit auch verändern konnte und zwar mit dem Ziel, Deine "gekaperten" eMail-Accounts zwecks Spam-Missbrauch "abzugreifen".

    Das Hoheitsrecht auf die Verwaltung Deiner eigenen PW´s, in Bezug auf pers. Zugänge, (auch innerhalb wissenschaftlicher oder firmeninternen Netzwerkstrukturen) obliegt immer nur Dir und niemals anderen.

    Lasse Dein System zuverlässig auf Malware hin scannen oder setze es gleich komplett neu auf - was im Grunde genommen mit dem einhergeht, was boardraider oben bereits in kürzerer Darstellung angeführt hatte.


    Oliver

    Danke für die Erklärung (und Entschuldigung für meine unfachmännische Beschreibung) der Ursache.

    Wie kann ich das System nach Malware scannen? Antivir hat nichts gefunden.
    MP

    melpmelp fragte in Konsequenz:

    Zitat

    [...]Wie kann ich das System nach Malware scannen? Antivir hat nichts gefunden.

    Meiner Ansicht nach geht es bei Dir - im Hinblick auf Deine bereits entwendeten EMail-Passwörter - bzw. der damit verbundenen Missbrauchs-Möglichkeiten - bereits jetzt schon eher um eine Schadensbegrenzung gegenüber Deinen Mail-Providern und nicht mehr alleine bloss um Deinen lokalen Systemstatus.

    Sollten Deine vertraulichen EMail-Zugangswörter im Vorfeld gehijacked und darüberhinaus u.U. für fremde Zwecke bereits missbraucht worden sein (was sich gemäss Deiner Angaben hier vermuten lässt), dann wäre es meiner Ansicht nach nicht ganz unwichtig, die entsprechenden EMail-Provider über diesen Missbrauch und zwar in Deinem Interesse, auch zu informieren.

    Solange die Unvervälschbarkeit des Internets dabei noch nicht als ausgeschlossen gilt, wärst Du somit über eine solche pers. Haftungsausschlusserklärung, gegenüber Deinen Mail-Providern und zwar bei zivilrechtlicher Fahlässigkeit (§ 823 Abs. 1, BGB) immer noch sicher. Dennoch solltest Du unter allen Umständen dafür Sorge tragen, dass deine EMail-Accounts nicht für Spam-Zwecke missbraucht werden können. Hier liegt die Verantwortung definitiv bei Dir und nicht nur alleine bei den Mail-Providern.

    melpmelp stellte folgende Frage:

    Zitat

    [...]wie vermeide ich, dass in Zukunft Fremde Kontrolle über meine Passwörter haben?


    a. Formatiere Deine komplette System-Partition - oder die vom Deinem System als "C" gemountete Partition. (über das System gemountete Partitionen zu Formatieren, gilt jedoch definitiv als unsicher).

    b. Setze anschliessend das System offline komplett neu auf. Im Anschluss daran gilt: Einrichtung / Optimierung und Aussäuberung des Systems, bzw. der damit einhergehenden Umgebungsfaktoren, wie Zusatzprogramme etc..

    c. Lege anschliessend die fertige Installation als ein Image auf einen externen Datenträger ab und verwahre es dort als gepatcht und absolut Virenfrei.

    d. Erstelle Dir dann selber ein eingeschränktes Internet-Zugangs-Konto Ändere abschliessend die sensitiven Zugangswörter Deiner externen Web-Services (also Online-Bank / Web-Mail / Firmen-Zugang etc.).

    e. Falle zuguterletzt nicht auf "billige" Downloads im Netz, z.B. über Tauschbörsen oder über Spam-Email-Anhänge herein.


    boardraider liess verlauten:

    Zitat

    Ich neige zu manchmal kurzen und deutlichen Formulierungen

    Wo Du Recht hast, hast Du Recht - da wage ich nicht einmal zu widersprechen ;)


    Oliver