[bizard]

Hallo,

ist es möglich, dass ich die eigetragene Felder auf Berliner Sparkasse gespeichert habe, so dass ich es nicht jedesmal neu eintragen muss?

[aNtiCHrist]

Gegen solche Bevormundung hilft das Bookmarklet remember password von https://www.squarefree.com/bookmarkl...ember_password

[bizard]

es funktioniert leider nicht
es funktioniert aber mit Omniweb ohne Probleme!

[aNtiCHrist]

Hier funktioniert es zumindest. Erschien bei dir nach dem Aufruf des Bookmarklets die folgend Meldung?

Zitat:

Removed autocomplete=off from 1 form and from 0 form elements, and removed onsubmit from 1 form. After you type your password and submit the form, the browser will offer to remember your password.

Hast du eventuell JS deaktviert? Dann funktioniert das Bookmarklet natürlich nicht. Schalte es dann kurz für die Ausführung ab, danach kannst du es wieder deaktivieren. Oder weißt du eventuell nur nicht, wie man Bookmarklets nutzt. Dann solltest du mal https://www.squarefree.com/bookmarklets/ oder http://en.wikipedia.org/wiki/Bookmarklet lesen.

Zitat:

es funktioniert aber mit Omniweb ohne Probleme!

Das Bookmarklet? Oder meinst du, dass OmniWeb sich ganz normal verhält und das Speichern direkt anbietet. Das liegt dann wohl daran, dass OmniWeb das eh nicht standardisierte autocomplete-Attribut ignoriert. Opera verhält sich ja auch so.

[Brummelchen]

Das automatische Ausfüllen wurde mit Firefox 2 abgeschaltet. Ob es sich per prefs wieder
einschalten lässt, ist mir zur aktuellen Version unbekannt. Phishing lässt grüssen.

[aNtiCHrist]

Was willst du mit solch einer Aussage bezwecken? Zum einen ist dieses hier beobachtete Verhalten nicht erst seit Version 2 sondern seit Urzeiten in Firefox enthalten, selbst in der Mozilla Suite gab es das schon (Quelle: http://developer.mozilla.org/en/docs...Autocompletion), zum anderen weiß ich absolut nicht, was du mit dem

Zitat:

Phishing lässt grüssen.

meinst. Außerdem habe ich bereits beschrieben, dass man die Unterdrückung des Speicher-Dialogs verhindern kann. Anstatt hier mit Worten wie Phishing Angst zu schüren, solltest du lieber mal klar formulieren, was du damit eigentlich meinst.

Wenn die Login-Daten abgespeichert wurden, sodass das Formular danach automatisch ausgefüllt wird, senkt das doch sogar die Gefahr von Phishing, denn der Benutzer wird sich zumindest wundern, wenn er die Daten erneut (auf einer Phishing-Site, die ja unter einer anderen Domain laufen wird) eingeben soll, obwohl das ja sonst der Browser immer gemacht hat.

Eventuell spielst du auf die massenhaft ausgespähten Passwörter bei MySpace an, das war dort allerdings primär eine Schwachstelle in MySpace, nicht in Firefox. Da man in den Nutzerprofilen eigenen HTML-Code einbinden konnte (kann?), gibt MySpace die Kontrolle über die Inhalte unter der Domain in nicht vertrauenswürdige Hände. Darüber lässt sich dann ja auch ganz wunderbar Phishing betreiben, da fällt ja nicht nur der Browser drauf herein.

Bei einer Bank wird es Unbefugten hoffentlich nicht möglich sein, per XSS andere Inhalte innerhalb der Domain der Bank unterzujubeln. Wenn doch, stehen auch hier wieder für Phishing alle Tore offen. Allein durch das automatische Ausfüllen geht jedenfalls noch keine Gefahr aus, es muss sich dazu auch die Website fehlerhaft verhalten.

IIRC wurde tatsächlich irgendwann das Verhalten von Firefox verschärft, das hat aber nichts mit dem Problem hier zu tun und es handelt sich eben auch nur um eine Vorsichtsmaßnahme. Erinnerst du dich an die Sache mit dem Flashplayer letztens? Das war genau so ein Fall.

[Brummelchen]

Zitat:

Eventuell spielst du auf die massenhaft ausgespähten Passwörter bei MySpace an

Nicht nur evtl - heise hat bewiesen, dass es überall funktioniert.
Automatisches Ausfüllen war aktiviert und ein JS hat kurz danach auf OK geklickt und
schwupps war alles übertragen - also wenn das nicht phishing ist
(die Daten wurden von einem übergeordneten Script angefangen und weitergeleitet)

Wer so eine Aktivierung oder Überbrückung propagiert, hat es nicht besser verdient,
beklaut zu werden - gibt leider noch genug davon. Ich glaube nicht, dass das dein Ziel ist.

Ebenso wurde verändert, dass nicht mehr die blosse Eingabe von Zeichen die Autovervollständigung
aktiviert, sondern man durch manuelle Auswahl diese auch bestätigen musste.
Cursor-Auswahl+Eingabetaste

Wenn eine Bankseite keine Speicherung zulässt, ist das im Allgemeinen als positiv zu bewerten,
es gibt zuviele Trottel, die immer wieder unwissentlich Ihre Daten sonstwo eingegeben haben.

Für Logins nutze ich -> http://www.erweiterungen.de/detail/Secure_Login/
Das zeigt mir an, ob ich wo schon was eingegeben habe. Und da ich "Daten speichern"
verweigere beim Übernahmedialog (ich müsst ja sonst meschugge sein), bekomme
ich auch nichts angezeigt (bei meiner Bank jetzt).

Sensible Logindaten extern zu verwenden, halte ich für ratsam, das beugt den neuerlichen
Versuchen vor, Passwörter direkt aus Firefox auszulesen - die Routinen dafür sind funktional.
Aber auch hier - automatisches Ausfüllen = NO GO.

[aNtiCHrist]

Zitat:

also wenn das nicht phishing ist

Unter Phishing verstehe ich eigentlich das Hereinlegen des Nutzers mit dem Ziel, dass dieser selbst die Logindaten preisgibt, ohne dass es aus technischer Sicht eine Schwachstelle gibt. Genau das trifft in dem MySpace-Fall aber nicht zu. Dort wurde ganz klar in dem Sicherheitskonzept der Website geschlampt: Warum können da Unbefugte Scripte oder auch nur Formulare einbinden?

Wenn es so weit kommt, ist die Site aber auch ohne das automatische Ausfüllen der Formularfelder unsicher, man kann dann ja auch die von dem Nutzer selbst eingegebenen Daten mitlesen. Aber auch das ist dann primär kein Phishung sondern eher XSS.

Ich sehe daher wie gesagt kein Problem in der Nutzung solcher Automatiken. Der Hintergrund für die Existenz dieser Unterdrückungsversuche dürfte eher in der potenziellen Nutzung des Rechners durch andere Personen liegen. Die könnten sich dann ja ohne weiteres Einsicht verschaffen, allerdings bei einem Girokonto (verglichen mit einem eBay-Konto o. Ä.) relativ wenig Unsinn mit anstellen, da ja alle Buchungen zusätzlich durch TAN geschützt sein sollten.

Wer ein höheres Sicherheitsbedürfnis hat, sollte JS ausschalten, dadurch lassen sich extrem viele Schwachstellen in Browsern *und* Websites entschärfen. Wem das immer noch zu wackelig ist, der könnte über die Deaktivierung des Passwortspeicherung nachdenken. Ich weiß zwar nicht mehr genau, was da tatsächlich in Firefox verschärft wurde, aber deine Aussage

Zitat:

Ebenso wurde verändert, dass nicht mehr die blosse Eingabe von Zeichen die Autovervollständigung
aktiviert

kann so pauschal nicht stimmen, denn hier wird weiterhin vollautomatisch ausgefüllt, völlig ohne Interaktion, direkt beim Aufruf der Seite.

Die genannte Erweiterung geht ja ebenfalls in diese Richtung und schützt präventiv vor Schwachstellen in der Website.

Zitat:

Sensible Logindaten extern zu verwenden, halte ich für ratsam, das beugt den neuerlichen
Versuchen vor, Passwörter direkt aus Firefox auszulesen

Ich habe diesbezüglich nichts mitbekommen, hast du Quellen? Wie kann es überhaupt dazu kommen? Wer kann denn da unbefugt drauf zugreifen? Wäre es in diesem Fall nicht auch genau so gut möglich, Tastatureingaben mitzulesen? Der einzige Vorteil des Auslesens wäre die Unabhängigkeit von dem Benutzer, der seine Daten sonst vielleicht nicht sofort eingeben würde.

[Brummelchen]

Du kannst sowas hier deuten?
http://board.gulli.com/thread/109778...-vista-bzw-xp/
(nur so als Tip - ist dieselbe Technologie)
http://www.passcape.com/mozilla_password_recovery_screenshots.htm

XSS - Crosssite-Scripting wird zum Phishen benutzt, was sonst!?

Zitat:

denn hier wird weiterhin vollautomatisch ausgefüllt, völlig ohne Interaktion, direkt beim Aufruf der Seite.

Das ist Quatsch, wenn User es nicht irgendwie umgangen hat.
Firefox füllt per se nichts automatisch aus. Bis in die Anfänge von 2.0 war das so:
http://www.firefox-browser.de/forum/...=111161#111161

Dann kam das hier:
http://www.firefox-browser.de/forum/...ic.php?t=51865

Die Änderung betraf allerdings nur neue Profile, die alten musste man manuell per
about:config umstellen, damit das automatische Ausfüllen unterblieb.
Und ich habe den Test damals gemacht und heise konnte es auslesen und abschicken,
das war nicht myspace. Und so ist bzw war mit allen Seiten möglich.
Dazu einfach noch die Kommentare von "Oliver222" lesen und auch verstehen

[aNtiCHrist]

Zitat:

Du kannst sowas hier deuten?

Offenbar hat jemand versucht, Malware zu verbreiten, die interessante Daten auf dem System einsammelt? Auf dem gleichen Weg kann man aber auch Keylogger verbreiten. Das Problem ist hier einfach, dass Software aus nicht vertrauenswürdigen Quellen eben schädlich sein kann. Außerdem gibt es in Firefox die Möglichkeit, ein Masterpasswort zu setzen, sodass die gespeicherten Logins nicht ohne dessen Eingabe ausgelesen werden können. Wo ist der Bezug zum Thema?

Zitat:

XSS - Crosssite-Scripting wird zum Phishen benutzt, was sonst!?

Naja, nach meiner Definition ist das dann kein Phishing mehr, sondern die Ausnutzung einer technischen Schwachstelle. Die soziale Komponente, die das Phishing ja eben ausmacht, geht hier dann doch völlig verloren. Der Nutzer wird ja nicht mehr getäuscht, er selbst muss ja im XSS-Fall nichts falsch machen. Lies dir einfach mal in der Wikipedia oder sonstwo durch, was man unter Phishing versteht. Das deckt sich sicherlich mit der mir bekannten Bedeutung.

Zitat:

Das ist Quatsch, wenn User es nicht irgendwie umgangen hat.

Das ist kein Quatsch, sondern meine Beobachtung in der aktuellen Firefox-Version. Ich habe es extra für dich noch mit einem nackten, neu angelegten Profil mit Standardeinstellungen ausprobiert. Möglicherweise wird das von dir beobachtete Verhalten ja erst durch die besagte Extension hervorgerufen. Die bietet das ja offenbar an. Ja, das ist eine zusätzliche Schutzmaßnahme, deren Fehlen allerdings nicht automatisch eine Schwachstelle bedeutet. Denk an unsere Flashplayer-Diskussion letztens.

Ich weiß nicht, was du mit den wenig zielführenden Links bezwecken willst. Dort steht auch nur, dass dazu die Websites selbst erstmal Schwachstellen haben müssen, weil sie nicht vertrauenswürdigen Code unter ihrer Domain einbinden lassen. Das versuche ich dir ja auch schon die ganze Zeit zu erklären. Ebenso nannte ich das Abschalten von JS als sehr viel sinnvollere Sicherheitsmaßnahme und wies darauf hin, dass man auf einem kompromittierten System auch ohne die Nutzung des automatischen Ausfüllens verloren hat.

Zitat:

Und ich habe den Test damals gemacht und heise konnte es auslesen und abschicken,
das war nicht myspace. Und so ist bzw war mit allen Seiten möglich.

Jein, nur bei Seiten, die oben genannte Schwachstelle aufweisen. Genau so, wie ich XSS im Allgemeinen auf allen Seiten nutzen kann, die meine Eingaben unmaskiert wieder im HTML-Code ausgeben. Dann sind aber auch manuell eingegebene Passwörter auslesbar. Das sind keine Browser-Probleme, sondern Probleme in der Webanwendung. Man kann sie aber beide entschärfen, indem man JS deaktiviert.

[Brummelchen]

Ich hab den Beitrag wieder gefunden:
http://www.firefox-browser.de/forum/...n+prefillforms

Das ist genau das, was du meinst - diese Option ist default aus, d.h. es wird nichts per se
ausgefüllt - SL tut da überhaupt nichts, das ist nur Sahnehäubchen, weil der die Passwörter
zur Seite erkennt und das markiert. Und der heise-Artikel mit der entsprechend präparierten
Seite bewies das. Jedenfalls ist das für Windows seit dem nicht mehr so.

Das mit dem Auslesen aus den Dateien selbst war nur daraus ausgelegt, dass der Passwort-
Manager in Firefox alles andere als sicher ist und seine Bankdaten doch echter Verschlüsselung
anvertrauen sollte.

Und hier steht nochmal, dass es ohne XSS funktioniert:
https://bugzilla.mozilla.org/show_bug.cgi?id=360493
http://www.heise.de/security/Passwor.../meldung/81410

Die Option ist ausgeschaltet hier, aber es gibt auch keine Daten, die man bei mir automatisch
einsetzen könnte - ich lasse da nichts speichern. Alles andere kommt aus dem Cache bzw
Verlauf, um genau zu sein - wie beim IE.

[aNtiCHrist]

Ich weiß ja nicht, was für eine Firefox-Version du nutzt, aber hier in der offiziellen ist der besagte Wert auf true gesetzt (auch in der firefox.js im defaults-Verzeichnis) und laut http://kb.mozillazine.org/Signon.prefillForms ist das auch der Standardwert.

Zitat:

Das mit dem Auslesen aus den Dateien selbst war nur daraus ausgelegt, dass der Passwort-
Manager in Firefox alles andere als sicher ist und seine Bankdaten doch echter Verschlüsselung
anvertrauen sollte.

Hast du Belege dafür? Ich kann mir kaum vorstellen, dass der Schutz über das Masterpasswort falsch "ohne echte Verschlüsselung" implementiert wurde mit vertretbarem Aufwand in akzeptabler Zeit umgehbar ist.

Zitat:

Und hier steht nochmal, dass es ohne XSS funktioniert:

Ich habe nie behauptet, dass XSS nötig ist. Nur dass es darüber möglich ist. Wenn man eh schon Einfluss auf die Webseiten der Domain hat, ist der Schutz eh völlig ausgehebelt. Jedenfalls funktioniert in aktuellen Firefox-Versionen das Auslesen nur dann, wenn JS aktiv ist und Unbefugte JS-Code im Kontext der Domain einbinden können. Das ist dann allerdings genau so gefährlich wie XSS.

Auch bevor die Ausfüll-Regeln in Firefox verschärft wurden, war es immerhin notwendig, dass Nutzer ein eigenes Formular in die Site mit den auszulesenden Daten einbinden konnten. Das ignorierst du weiterhin gekonnt.

Die Erweiterung Secure Login hat einen *gewissen* zusätzlichen Schutz, da sie eben bei Seiten mit untergeschobenem JS-Code verhinderrt, dass man per JS an die gespeicherten Daten herankommt. Allerdings würde ich als Angreifer für diesen Fall einfach ein Formular mit anderem action-URI und/oder anderen Feldnamen anzeigen lassen. Dann gibt der nichtsahnende Nutzer die Daten halt noch mal per Hand ein und schon habe ich sie. Alternativ lese ich die Cookies aus und übernehme die Session, das reicht auf vielen Fällen ...

Warum du allerdings diese Erweiterung installierst, wenn du eh keine Passwörter speichern lässt, kann ich mir auch nicht erklären. Welchen Nutzen bietet sie, wenn man eh nichts speichert?

Zitat:

Alles andere kommt aus dem Cache bzw
Verlauf, um genau zu sein - wie beim IE.

Du sprichst wieder mal in Rätseln. Was haben Cache, Chronik und IE mit der Problematik hier zu tun?

[Brummelchen]

Zitat:

Ich weiß ja nicht, was für eine Firefox-Version du nutzt, aber hier in der offiziellen ist der besagte Wert auf true gesetzt

Vollidioten, wer ist denn so bescheuert, und setzt seine selbsternannten Sicherheitstips auf unsicher zurück?
Die haben doch echt nen Knall... anders kann man sowas wirklich nicht mehr ausdrücken.

Ich habe leider die älteren versionen v2.0 gelöscht, aber die gibt es ja noch auf dem Server.
Du kannst das mit der 2.0.0.1 und einer 2.0.0.3/4/5 kontrollieren, da ist default=false.
Ist mir gestern nicht aufgefallen, dass es im about:config fett markiert und somit manuell
geändert war (false). Also entweder haben die an der Sicherheit geschraubt, oder nehmen
gutgäubig an, dass es nicht mehr vorkommt.
http://releases.mozilla.org/pub/mozi...efox/releases/
(ja toll, 2.0.0.6 ist die älteste, eine 2.0.0.1 geht noch manuell zu erhaschen, sonst nichts.
dann wohl nur per Google)

Diese Info steht in dieser Datei, man muss es nicht installieren dazu (nur auspacken mit 7zip)
\nonlocalized\defaults\pref\firefox.js


Gut, ich nutze mein Profil schon ewig und drei Jahre, das liegt auch am Backup.
Ein neues würde ich per copy&paste erstellen, ist einfacher&schneller als komplett neu über
Firefox einzurichten. Hauptsächlich die Extensions, Firefox nur über Firefox selbst.

Zitat:

Hast du Belege dafür? Ich kann mir kaum vorstellen, dass der Schutz über das Masterpasswort falsch "ohne echte Verschlüsselung" implementiert wurde mit vertretbarem Aufwand in akzeptabler Zeit umgehbar ist.

Da hier sonst niemand rankommt, auch kein Masterpasswort.
Das müsste ich mal mit dem genannten Tool ausprobieren.

Ok, ohne MP findet er, mit fragt er danach, bleibt es leer, steht eine Fehlermeldung da,
dass 0 dechiffiert wurde. Allerdings zeigt er die Webseiten an.
Wenn die Tools nur im idle-Modus per liste/brute-force suchen, merkt User gar nichts.
Oder die Dateien werden gleich komplett gesendet, was ich eher vermute.
Oder man wartet im Hintergrund genau auf diesen Dialog zur Eingabe.

Wie auch immer, dazu muss man schon auf den Rechner selbst gelangen und hat mit der
anderen Thematik nicht so viel zu tun. Ich kann nur dringenst empfehlen, besagten
Eintrag
auf false zu setzen.

>> wenn du eh keine Passwörter speichern lässt,

Nicht für Banken und auch keine Mod-Foren D.h. wenn ich mich hier auslogge, muss ich
kramen. Aber dafür habe ich eine geschützte Passwortliste. Da stehen auch diverse andere
drin, die ich sonst hier verwende. Ist weder verlinkt noch sonst aufzufinden.

>> Du sprichst wieder mal in Rätseln.

Die Daten, die keine Logins sind, kommen aus dem Verlauf - wie beim IE. Und das wird
immer sofort gelöscht (IE nun), wenn Maxthon zu geht. (BTW die 2.0 ist ja grottig,
buggy ausserdem - die classic 1.6 ist inzwischen installiert, ist trotzdem noch IE,
d.h. sicherer als der geht auch nicht sonderlich).

MS hat übrigens CAFEE fertiggestellt, eine forensische Software, die Windows mal eben so
analysieren kann (können soll) O_o.

[bizard]

Zitat:

Zitat von Brummelchen

...dafür habe ich eine geschützte Passwortliste. Da stehen auch diverse andere
drin, die ich sonst hier verwende.

innerhalb firefox oder ist das eine Liste, die mit anderem Programm erstellt worden ist?