xxxxxxxxxxxxxxxxxxxxxxxxxx

  • Du meinst signons und key3.db kopieren? Jedes gespeicherte Passwort ist ein Sicherheitsrisiko und man sollte sich schon überlegen was man da speichert. Unter Freunden ist das Szenario außerdem ziemlich unrealistisch, zumindest nach meiner Sichtweise von Freunden.

    Mozilla/5.0 (X11; U; Linux x86_64; de-DE; rv:1.9.1.1) Gecko/20090702 Firefox/3.5

  • Was heißt lediglich? Wenn der "Angreifer" nicht vor deiner Tastatur sitzt dann sollte er dazu sowieso nicht in der Lage, wenn doch hast du wirklich dringendere Probleme. Vorausgesetzt natürlich man benutzt brain.exe und speichert keine sensiblen Passwörter(z.B. Onlinebanking).

    Mozilla/5.0 (X11; U; Linux x86_64; de-DE; rv:1.9.1.1) Gecko/20090702 Firefox/3.5

  • Zitat von Frost3000

    aber das ist ja sowieso egal, wenn sie so leicht "kopierbar" sind.
    da muss man ledeglich auf den pc zugreifen.

    Moin :)

    Dein Freund sollte sich ein externes Programm wie z.B. Roboform [Blockierte Grafik: http://tinypic.com/2n9lyc7.png] zulegen oder Secure Login [Blockierte Grafik: http://tinypic.com/2n9lyc7.png] 

    Dann wird's schon bei bißchen schwieriger Passwörter zu "klauen". :wink:

    -GA-

  • Solange man ein sicheres Master-Passwort setzt, kann man problemlos auch sensible Passwörter speichern. Die Passwörter werden übrigens sehr wohl verschlüsselt gespeichert, nur ohne Mastper-Passwot liefert man den passenden Schlüssel gleich mit.

    Das einzige, was die Firefox-Entwickler tun könnten, ist die Anzeige einer Warnung, dass man ein Master-Passwort setzen sollte. Sowas fände ich ehrlich gesagt auch allemal sinnvoller als Rechtschreibüprüfung und unnütze Phishing-Filter. Aber grundsätzlich stimme ich zu: Solange die Passwörter nur lokal abgreifabr sind (wenn überhaupt), sehe ich hier kein schwerwiegendes Problem.

    Ich sitze übrigens oft an fremden Computern und richte irgendwelche Sachen ein. Wäre ich böswillig, könnte ich noch viel sensiblerere private Informationen abgreifen als nur gespeicherte Online-Passwörter.

  • Zitat von Frost3000

    [...]
    Ich spreche über die Passwörter der User, die kann jeder einfach so vom PC klauen, welche und wie, das werde ich ganz sicher nicht hier hin schreiben. [...] Da kann ich z.B. zu einem Freund gehen, eine Datei von ihm auf Diskette oder per email weiter verschicken und schon habe ich alle seine gespeicherten passwörter ohne großen aufwand. [...] Mir kommt kein vernünftiger Grund, warum es so leicht gemacht wird.
    [...]


    Wie würdest Du diesen von Dir beschriebenen Fall technisch verhindern?

    Zitat von Frost3000

    [...]Das sollte ja jeder wissen, der an firefox arbeitet.[...]


    Nur bei Firefox? Und wie sieht das mit der Eigenverantwortung aus?

  • Zitat von Frost3000


    Kann man da nichts gegen machen?

    Doch. Das schon erwähnte Masterpasswort setzen. Dann kann jemand, die die Dateien signons und key3.db kopiert, sie solange in ein anderes Profil eibauen, wie er will. Ohne Masterpasswort wird er keine Passwörter sehen können.

    (Oder einfach gar keine Passwörter auf dem Rechner speichern.)

  • Zitat von Global Associate

    ... oder Secure Login [Blockierte Grafik: http://tinypic.com/2n9lyc7.png] 

    Dann wird's schon bei bißchen schwieriger Passwörter zu "klauen". :wink:

    -GA-

    Was hat SecureLogin mit dem Schutz der Passwörter zu tun ?
    SL nutzt auch nur die FX interne Dateien bzw. die Passwörter
    des PW-Managers vom Firefox; nur eben etwas komfortabler
    in WAND-form.

    ...:AOD:...

    HP Chromebook 15a-nb0225ng, i3N-305, 8 GB LPDDR5-4800 MHz RAM (integriert), 256GB UFS, - chromeOS 126 (Stable Channel) - Linux Debian Bookworm: Firefox Nightly, Beta und Main Release (Mozilla PPA), Android 13: Firefox Nightly und Firefox (Main Release)

    Smartphone - Firefox Main Release, Firefox Nightly, Firefox Klar (Main Release)

  • Zitat von pcinfarkt


    Wie würdest Du diesen von Dir beschriebenen Fall technisch verhindern?


    Nur bei Firefox?

    es stimmt dass firefox deutlich anfälliger für sowas ist, weil man bei dem die passwörter im passwortmanager anzeigen lassen kann, in anderen browsern ist das nicht möglich. so könnte man zum beipspiel die passwörter eines users der mal kurz aufs klo gegangen ist anschaun. bei opera und ie gibts diese gefahr nicht. klar kann man das durch ein masterpasswort verhindern, aber die wenigsten haben sowas, weil es nur optional ist und die meisten nichtmal wissen dass soetwas möglich ist.

  • Zitat von AngelOfDarkness


    Was hat SecureLogin mit dem Schutz der Passwörter zu tun ?
    SL nutzt auch nur die FX interne Dateien bzw. die Passwörter
    des PW-Managers vom Firefox; nur eben etwas komfortabler
    in WAND-form.
    ...:AOD:...

    Jo, ich hab's nach dem Absenden auch gemerkt - war aber zu müde, um es noch zu korrigieren. Sorry for this :wink:

    -GA-

  • ... abgesehen davon, dass es wohl anzuraten ist, keine wirklich sensiblen Passwörter auf dem Rechner und/oder im Browser zu speichern, ist meiner Meinung nach bei Firefox die Lösung "Masterpasswort" zwar eine gute Sache, kann aber als solches - je nach Situation - extrem lästig sein: z.B. wenn man gerade am Firefox rumschraubt, bzw. Add-ons installiert, deinstalliert, updatet etc. ... und nach jedem Neustart das Masterpasswort fällig ist.

    ... was ich dabei vermisse, ist die zusätzliche Möglichkeit, das Masterpasswort selektiv einsetzen zu können: etwa nur für Login-Aktionen und Änderungen/Ansicht der Passwörter, so dass das Masterpasswort erst dann fällig wird, wenn es tatsächlich nur um Passwörter geht (meinetwegen dann auch für die laufende Sitzung) - oder zumindest die Möglichkeit, das Masterpasswort temporär zu deaktivieren (etwa auch mit Eingabe des Masterpassworts) ... (für den Fall, dass man mal rumschrauben will ...)

    .... dies hätte zudem den Vorteil, dass man beim "Pinkeln" nicht vorher Firefox schließen müsste :lol: - "war jetzt Blödsinn"; aber das Masterpasswort ist nun mal beim Firefox-Start fällig und öffnet während der Sitzung den Zugriff auf die Passwörter, ob man sich nun irgendwo einloggen will oder nicht - es müsste doch zu machen sein, zwei unterschiedliche Instanzen einstellbar einbauen zu können!?? .... wäre vielleicht 'ne Anregung an blueimp wert, denn mit Secure Login ist dies leider auch nicht möglich.

    Grüße - doubletrouble

    "Der Kopf ist rund, damit das Denken die Richtung wechseln kann." (Francis Picabia)

  • Das Master-Passwort ist doch nicht beim Start des Firefox fällig, sondern erst wenn ich mich zum ersten Mal während der Sitzung irgendwo einloggen will!?
    Zumindest ist das bei mir so (Fx 2.0.0.11 + SecLog). Ich kann mir nicht vorstellen, dass es bei dir anders ist. :wink:
    Sobald man es allerdings einmal eingegeben hat, kann auch jeder der an den Rechner kommt die PW sehen.
    Die ganz wichtigen wie Bank, PayPal etc. würde ich eh nicht auf dem PC lagern.

    Gruß
    Schraube

  • Du sagst es: Während der Sitzung.

    Wie realistisch ist es, dass du an einem privaten Computer den Firefox startest, das Masterpasswort eingibst, dann den Arbeitsplatz verlässt ohne den Firefox zu beenden und genau in dieser Zeit ein "böser Freund" kommt, der sich in deinen Bank-Account einloggt?

    Selbst wenn dieses höchst unwahrscheinliche Szenario eintreten würde: Der "Freund" könnte dann nur in der laufenden Sitzung Unheil anrichten. Das Kopieren der Passwortdateien funktioniert nicht, denn diese Wären bei Nutzung auf einem anderen Computer wieder verschlüsselt. Er kann sich nichtmal die gespeicherten Passwörter anzeigen lassen, denn bei dieser Funktion wird das Masterpasswort auf jeden Fall neu angefordert, auch wenn man es in der laufenden Sitzung bereits eingegeben hat.

    Ich bleibe also dabei: Ich halte es bei einem guten Masterpasswort für absolut kein Problem, jeden beliebigen Logindatensatz auf dem privaten(!) Rechner zu speichern.

  • Zitat von PIGSgrame

    ...Wie realistisch ist es, dass du an einem privaten Computer den Firefox startest, das Masterpasswort eingibst, dann den Arbeitsplatz verlässt ohne den Firefox zu beenden und genau in dieser Zeit ein "böser Freund" kommt, der sich in deinen Bank-Account einloggt?

    Unrealisisch.

    Zitat von PIGSgrame

    ...Er kann sich nichtmal die gespeicherten Passwörter anzeigen lassen, denn bei dieser Funktion wird das Masterpasswort auf jeden Fall neu angefordert, auch wenn man es in der laufenden Sitzung bereits eingegeben hat.

    Stimmt, da kommt sogar nochmal die Frage nach der Master-PW Eingabe. Hatte ich vergessen.

    Zitat von PIGSgrame

    Ich bleibe also dabei: Ich halte es bei einem guten Masterpasswort für absolut kein Problem, jeden beliebigen Logindatensatz auf dem privaten(!) Rechner zu speichern.

    Bei Verwendung eines sicheren Master-Passwortes ist das dann wohl ok.
    Vorsichtig oder besser umsichtig sollte man trotzdem sein (ist wohl wieder eine Sicherheitslücke aufgetaucht mit der man PW in Fx ausspionieren kann).
    Man sollte aber auch die Sicherheitslücke bedenken, die entsteht wenn die Passwörter nicht gespeichert sondern aufgeschrieben werden.
    Wenn der Zettel zwecks schneller Erreichbarkeit in der Schreibtischschublade unter dem Monitor liegt, dann ist nichtmal ein Master-Passwort fällig um an alle PW zu kommen.

    Gruß
    Schraube

  • Zitat von 1 Sack Schrauben

    Vorsichtig oder besser umsichtig sollte man trotzdem sein

    Das sollte man immer, da gebe ich dir natürlich Recht :wink:

    Zitat von 1 Sack Schrauben

    ist wohl wieder eine Sicherheitslücke aufgetaucht mit der man PW in Fx ausspionieren kann

    Falls du diese meinst, die von Heise, WinFuture und Co. verbreitet wird: Damit kann man keine gespeicherten Passwörter ausspionieren und schon gar nicht das Masterpasswort. Man kann durch diese Lücke nur jemanden dazu bringen, Seine Logindaten irrtümlich auf einer nicht vertrauenswürdigen Seite einzugeben. Das ist zwar auch schlimm genug, aber eine Gefahr für gespeicherte Passwörter besteht da nicht.

  • irre ich mich vllt, aber ich dachte mal i-wann (vllt ein Viertel Jahr her) hätte ich ein Tool gesehen, mit dem man sein Master-PW killen kann... Dann wäre aber ein Master-PW nicht mehr sicher...

    Firefox Firefox 3.6.x den festen und den zum Reisen,
    Win. 7 SP1

    Der IE ist wirklich sehr wichtig! Man benötigt ihn, um sich einen Browser zu besorgen!

  • Zitat von Coce


    weiß nicht mehr ob es das war, aber da steht ja

    Zitat

    Recover lost User Master Password;

    also hört es sich so an als ob man damit das Master-PW wiederbekommen könnte...

    Aber ich glaube das was ich noch im Kopf hatte war sowas wie FireMaster
    (ja, die Seite kann man rechts auch auf deutsch übersetzten lassen aber hört sich grauenvoll an :lol: )

    Firefox Firefox 3.6.x den festen und den zum Reisen,
    Win. 7 SP1

    Der IE ist wirklich sehr wichtig! Man benötigt ihn, um sich einen Browser zu besorgen!