Passwortspeicherung auf https-Seiten

  • Hallo,

    habe jetzt festgestellt, dass der FF (2.0.0.5) keine Passwortspeicherung auf https-Seiten durchführt. Meine bisherigen PWs auf https oder auch http funktionieren nach wie vor. Wenn ich aber bei einer neuen https-Seite die Daten eingebe, erscheint keine Abfrage des Kryptographie-Moduls. Die Daten werden auch nicht abgespeichert.
    Auf http-Seiten funktioniert es nach wie vor.

    Hat das auch schon jemand anderes beobachtet und gibt es evtl. Abhilfe dafür?

    Masterpasswort ist vergeben und funktioniert auch einwandfrei.

    Gruß Jens

  • eagle64 fragte:

    Zitat

    [...]habe jetzt festgestellt, dass der FF (2.0.0.5) keine Passwortspeicherung auf https-Seiten durchführt. Meine bisherigen PWs auf https oder auch http funktionieren nach wie vor. Wenn ich aber bei einer neuen https-Seite die Daten eingebe, erscheint keine Abfrage des Kryptographie-Moduls. Die Daten werden auch nicht abgespeichert. Auf http-Seiten funktioniert es nach wie vor.


    Soweit ich Dich hier richtig verstanden hatte, nutzt Du den FF-integrierten PW-Manager? Wenn dem so sein sollte, dann sei froh, dass bezüglich der sensiblen HTTPS-Seiten keine automatische Speicherung, bzw. keine automatische Eingabe Deiner Zugangsdaten über den FF-Automatismus erfolgt. Soweit ich hier bisher informiert bin gilt folgendes:

    Die HTTPS-URL´s, in die ja Deine sensiblen PW´s eingetragen werden sollen, könnten sich über sogenannte Session-ID´s innerhalb der Domain zu einem bestimmeten Zeitpunkt bereits wieder geändert haben (Online-Banken machen so etwas gerne, speziel in Hinblick auf die Load-Balancers /Anfrage-Lastverteilung zu Spitzenzeiten). Ein sogenanntes URL-Matching alleine, welches der PW-Manager des FF´s dagegen betreibt, kann daher meiner Ansicht nach, bezüglich solcher Sicherheitsabfragen nicht ganz ausreichen. Es gibt meiner Ansicht nach jedoch sehr gute und separate Progs., die einerseits die PW´s sicher speichern und darüberhinaus auch die Übertragung solcher Zugangswörter in vertrauenswürdige Web-Formulare weitgehend sichern können.

    http://openid.net/
    http://www.roboform.com/
    https://blueimp.net/mozilla/Secure%20Login/


    Oliver

  • Es geht auch wesentlich kürzer... ;)

    Passwörter und sonstige Zugangsdaten haben auf einem Computer nichts zu suchen!
    Und das gilt auch bei (angeblich) noch so guter Verschlüsselung.

  • Zitat

    Ein sogenanntes URL-Matching alleine, welches der PW-Manager des FF´s dagegen betreibt, kann daher meiner Ansicht nach, bezüglich solcher Sicherheitsabfragen nicht ganz ausreichen.

    Die Pw werden im Fx auf Basis der Domain gespeichert, in Verbindung mit dem Protokoll und ggf. einer Pfad-Angabe. Zusätzlich wird inzwischen das Action-Attribut des Formulars hergenommen.

    Zitat

    Passwörter und sonstige Zugangsdaten haben auf einem Computer nichts zu suchen!
    Und das gilt auch bei (angeblich) noch so guter Verschlüsselung.

    Unpraktisch und für mich auch ein scheinheiliges Argument. Ich kenne niemanden, der die Maßstäbe an gute Passwörter unter einen Hut bringt mit seiner geistigen Kapazität sich kryptische Codes zu merken.

    Zudem:
    Deinen Private-Key für asymmetrische Verschlüsselung kennst du natürlich auswendig und gibst ihn jedes mal von Hand ein, oder verwendest du doch einen Keyring, der mit einem Passwort gesichert ist. Ne, denn das ist ja miese Verschlüsselung...

    Ein wenig mehr Realismus täte in solchen Debatten gut! Alternativ wären praktische Empfehlungen sinnvoll, weniger das Dreschen von elitären Phrasen.

  • Zitat von eagle64

    habe jetzt festgestellt, dass der FF (2.0.0.5) keine Passwortspeicherung auf https-Seiten durchführt.
    [...]
    Hat das auch schon jemand anderes beobachtet und gibt es evtl. Abhilfe dafür?


    Kann ich nicht bestätigen - Gerade erfolgreich getestet mit

    Code
    Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.1.5) Gecko/20070713 Firefox/2.0.0.5


    Probier's vielleicht mal mit einem neuen Firefox Profil.


    Zitat von Oliver222

    Es gibt meiner Ansicht nach jedoch sehr gute und separate Progs., die einerseits die PW´s sicher speichern und darüberhinaus auch die Übertragung solcher Zugangswörter in vertrauenswürdige Web-Formulare weitgehend sichern können.

    http://openid.net/
    http://www.roboform.com/
    https://blueimp.net/mozilla/Secure%20Login/


    Vielen Dank für die Erwähnung von Secure Login. :)


    Zum Thema Passwort-Manager bin ich boardraider's Meinung:

    Zitat

    Das mit dem Merken ist eine prima Sache, hat allerdings einen Haken:
    Je kryptischer und länger ein Passwort ist, desto sicherer ist es. Daher sind auch ganze "Schlüssel-Dateien" (Stichwort "Private & Public Key") sicherer als einfache Passwörter.
    Keiner kann sich allerdings den Inhalt solch einer "Schlüssel-Datei" merken und auch möglichst lange und kryptische Passwörter kann sich kaum einer merken.
    Verwendet man aber kurze und einfache Passwörter, die leichter zu merken sind, oder verwendet für viele Zugänge die gleichen Kombinationen aus Benutzernamen und Passwort, macht man wieder Abstriche bei der Sicherheit.

    Passwort-Manager stellen hier meiner Meinung nach einen guten Kompromiss dar. Nutzt man einen Passwort-Manager, muss man sich nur das Master-Passwort merken (das natürlich auch lang und kryptisch sein sollte) und kann für die eigentlichen Zugangs-Daten unterschiedliche, lange und kryptische Passwörter verwenden.


    https://blueimp.net/forum/viewtopic.php?p=8117#p8117

  • boardraider stellte folgendes dar:

    Zitat

    [...]Die Pw´s werden im Fx auf Basis der Domain gespeichert, in Verbindung mit dem Protokoll und ggf. einer Pfad-Angabe. Zusätzlich wird inzwischen das Action-Attribut des Formulars hergenommen.


    Das Action-Attribute des FF´s überprüft nur die sensitiven URI/URL`s als oberflächige Quellprüfung des Dokumentes - es überprüft jedoch nicht die u.U. bereits über (RCSR) eingeschleusten Frames in das vertrauenswürdige Web-Dokument selber.

    Hinzu kommt, dass die allgemeinen Ethernet-Übertragungswege (die Broadcasts) zwischen Kunden-PC und Access-Concentrator an sich schon genügend potentielle Gefahren mit sich bringen, die einer reinen URL/URI - Überprüfung, durch den FF-PWM, alleine schon nicht mehr standhalten können. (URL: RFC 1738 / URI: RFC 239). Darüberhinaus, lassen sich die Action-Attribute über Java-Script leicht verfälschen.

    Bezüglich des Passwort-Managers haben die Firefox-Entwickler, meiner Ansicht nach noch einen Nachholbedarf, da der überwiegende Teil der "unbedarften" FF-Nutzer-Gemeinde diesem Browser und seinen Komponenten "blind" vertraut und der FF somit z.T. seinem Ruf diesbezüglich ungerechtfertigterweise vorauseilt.


    Oliver


    http://lwn.net/Articles/211875/
    https://addons.mozilla.org/en-US/firefox/addon/1275
    http://users.skynet.be/mgueury/mozilla/release_note.html

  • oliver
    Ich habe nicht behauptet, dass der PW-Manager des Fx höchsten Sicherheitsansprüchen in allen Fällen genügt, ich habe lediglich deine von mir zitierte Aussage ergänzt/korrigiert, da der Fx eben kein URL-Matching betreibt, lediglich beim action-Attribut, nicht aber bei dem URL der Login-Seite. So habe ich aber deine Aussage aufgefasst. Solltest du dich nur auf das action-Attribut bezogen haben, war die Ergänzung natürlich nicht nötig.

    Zitat

    es überprüft jedoch nicht die u.U. bereits über (RCSR) eingeschleusten Frames in das vertrauenswürdige Web-Dokument selber.

    Zitat

    Darüberhinaus, lassen sich die Action-Attribute über Java-Script leicht verfälschen.

    Wie in dem damals heiß diskutierten Bugzilla-Eintrag ersichtlich, wurde nie behauptet, der Fx würde davor schützen. An XSS/JS-Manipulationen kommt der PWM des Fx gegenwärtig allein nicht vorbei. Dabei ist aber die Frage, warum man JS-Code oder Frames in eine Seite einschleusen kann. Schwachstellen in anderen Anwendungen kann der Fx schlecht beheben, in der Hinsicht scheitert er genauso wie andere PWM.

    Es ist vielmehr Aufgabe von Webseiten-Entwicklern ihre Anwendungen gegen XSS abzusichern. Zusätzlich konsistente Login-Seiten bereitzustellen, mit fixen URLs und ohne JS. Zusätzlich sollte man auch den PWM im Fx verbessern und eine fein granulare Verwaltung von Passwörtern ermöglichen (zumindest als Experten-Modus anbieten). Zusätzlich sind die Funktionalitäten von Secure Login zwingend in den Fx direkt zu integrieren. Nicht um wirkliche Sicherheits zu erreichen, aber zumindest um das Gefahrenpotential zu minimieren. Hochsensible Bereiche muss der Fx nicht abdecken, dazu gibt es spezielle Lösungen.

  • Du musst die Seite https://www.squarefree.com/bookmarklets/f…member_password im FF öffnen und dann die Schaltfläche >remember password< mit der linken Maustaste irgendwo in deine Lesezeichen ziehen.

    Wenn Du jetzt das erste Mal eine https-Seite öffnest, auf kein PW abgefragt wird, drückst Du den entspr. Lesezeicheneintrag, gibst anschl. Deine Daten in die Formularfelder und müsstest dann eigentlich nach Speicherung des PW gefragt werden. Beim nächsten Aufruf der Seite ist das PW dann gespeichert!