Passwortschutz umgehen

  • Hallo,

    mir ist eine böse Sicherheitslücke aufgefallen:

    Bei einem Absturz (z.B. Stromausfall) startet Firefox alle Seiten wieder so, wie vor dem Absturz -
    OHNE das Masterpasswort oder die Passwörter für die einzelnen Seiten abzufragen! Emails, Foren: alles wird geladen, wie zuletzt geöffnet...

    Ich bin kein Hacker, aber es braucht sicher nicht viel Phantasie, um die Stelle zu finden, wo sich Firefox merkt, daß er nicht ordnungsgemäßt beendet worden ist und welche Seiten zu dem Zeitpunkt offen waren. Also müßte es reichen, dieses "Flag" auf "Absturz" zu setzen und alle Seiten in die Historie zu setzen, die einen interessieren. Dann FF starten und Rubbeldikatz hat man Zugang zu allen Seiten, die eigentl. per Paßwort geschützt sein sollten. :traurig:

    Der Neustart aller Seiten nach dem Absturz ist ja gut gemeint, aber dann doch bitte MIT Abfrage der Paßworte!

    Gruß Phil

  • Das setzt voraus, dass der Angreifer Zugang zum Benutzerkonto hat. Dann kann er auch jede erdenkliche Spionagesoftware installieren und so an die gewünschten Daten kommen.

    Es gibt keine Strong-Taste und keine Strange-Taste.

  • Hi Phil,

    es gibt eine uralte Regel in der IT-Sicherheit:
    Derjenige, der physischen Zugriff auf ein IT-System hat, der hat schon so gut wie gewonnen!

    Der einzige vollwertige Schutz ist die Vollverschlüsselung der Datenträger. Aber selbst da, könnte der Angreifer einen Hardware-Keylogger einbauen. OK, jetzt wird es [OT].

    Die Methode des "normalen privaten Nutzers" sich vor den von dir genannten Problemen zu schützen, ist und bleibt das Anlegen von Benutzerkonten und diese mit einem Passwort zu schützen.
    Auch wenn es auf der Masse der privaten Rechner nur ein einziges Konto gibt, dieses "Administrator" heißt und selbstverständlich auch kein Passwort gesetzt ist. Und auch, obwohl gleich hier viele bequeme Nutzer schreiben werden, dass selbiges für sie total nervig und völlig unnütz sei.

    Wenn mir der Absturz bei einem so wie o.g. geschützten Benutzerkonto passiert, dann sehe ich dabei keinerlei Sicherheitsproblem. Hier wurde ein Kompromiss zwischen Sicherheit und Benutzbarkeit gefunden. Und, wie schon geschrieben, du kannst das ganze ja auch deaktivieren.

    MfG Peter

  • Hi Peter,

    mit der Argumentation könnte man auf Paßwörter gleich ganz verzichten ;)

    Es ging mir nicht um einen Absturz, der passiert, sondern der Firefox böswillig durch das Setzen des Absturzflags vorgegaukelt wird, um an die Paßwörter zu kommen.

    Die Sitzungswiderherstellung kann man zwar abschalten. Es reicht aber auch, sie vor einem Neustart im Nutzerprofil (prefs.js) wieder einzuschalten. Was ist denn das für ein Schutz, wenn ich in einer Textdatei nur ein Bit setze oder lösche, um ihn zu umgehen?

    Das Einloggen auf dem Administrator-Profil ist nun mal genauso üblich, wie daß das Firefox-Profil irgendwo frei lesbar auf C:\ rumgammelt. Meine Erwartung wäre eigentlich, daß per default sicherheitsrelevante Einstellungen maximal geschützt und verschlüsselt sind. Ein Flag in der Config zu drehen, ist ja nicht mal ein Stolperstein... :(

    Also etwa so sicher, als ob man an das aufgerissene Scheunentor ein Schild "Privatbesitz" dranhängt oder den Schlüssel für den Riegel aus Manganstahl gewohnheitsmäßig unter der Fußmatte lagert...

    Paßwortschutz ist ein SEHR wichtiger Aspekt: Mit gehacktem Email- oder Ebay-Login kann immenser wirtschaftlicher und rechtl. Schaden erzeugt werden.

    Ich ziehe jetzt erst mal mein Benutzerprofil auf eine verschlüsselte Partition um...

    *einigermaßen geschockt*

    Gruß Phil

  • Du kannst auch einen externen Passwortmanager wie KeePass nutzen. Dort wird die Datenbank verschlüsselt.
    Ein weiterer Vorteil ist, das du dort auch Passwörter speichern kannst, die nicht zu einer Webseite gehören, und mit dem Browser nichts zu tun haben.

  • 1. Definiere "Absturzflag"
    2. Werden Seiten nicht mit Kennwort geladen und Login dadurch definiert, sondern meistens durch Cookies!
    3. Sicherheitsrelevante Seiten haben deshalb einen Session-Timeout, zB Banken, GMX zB auch.

    Euch fehlen teils Basics, um überhaupt solche Szenarien anzudenken. :idea:

    D.h. man müsste schon die Cookies klauen und die SID dazu, die teils gar nicht ersichtlich ist.
    Weiterhin, falls doch die geschützte Seite geladen wurde, müssten genau auf diese Seite
    mehrere Tastaturmakros programmiert worden sein, sonst Wäre die Navigation fürn Popo.
    Fazit - falls jemand derartig angegriffen würde, wäre das ein ganz gezielter Angriff mt dem
    Wissen, dass jene Seite(n) dort genutzt werden. Dafür war aber schon Vorarbeit
    als Spionage getan, sei es als Trojaner oder Bild etc bla.
    Nicht unmöglich, aber ich behaupte,d ass dieser Aufwand durch reguläre Trojaner oder Bild-
    bzw Video-Trojaner einfacher zu erledigen ist als durch son Quark.

    Ausserdem würde ich mich ganz schwer wundern, wenn Firefox abstürzt bzw absichtlich gekillt wird
    (Absturz wird durch was anderes definiert) und danach automatisch neu gestartet werden würde.

    Für mich steigert ihr euch in was rein, was nur durch viel und unnötigen Aufwand zu rechtfertigen wäre.
    :roll:

  • Zitat von Brummelchen

    Euch fehlen teils Basics, um überhaupt solche Szenarien anzudenken.

    Genieße doch den gesamten Beitrag als [d/t]rolliges Geschenk dieser Feiertage.

    Der für mich traurige Aspekt liegt nur darin, wie viele freundliche Helfer hiermit ihre Zeit verschwendet haben.

  • Mir scheint, diese Art von Denke (die des TO und des Thread-Reanimierer von heute) wird durch unausgegorene Sch..... diverser "Computer-Fachzeitschriften" dem unbedarften Leser auf den Pelz gebunden.

  • Zitat von Boersenfeger

    (die des TO und des Thread-Reanimierer von heute)

    Pardon, sind dir diese Kleinigkeiten entgangen ?

    Zitat von Phil_69

    Gruß Phil

    Zitat von Nulluser

    Gruß Phil


    Da schnallen die schlappen Lauscher aber von sowas in die Höhe.

  • (d/t)rollig - idd :mrgreen:

    ok, ich bin schon still und hol nen nachschlag popcorn - bei soviel doofheit. :P
    klein weil faul hier.