[007123]

Trotz SuFu habe ich nicht das Thema gefunden, das mich interessiert.

Man wird ja immer davor gewarnt, PWs im Browser abzuspeichern. Auf diesen Komfort möchte ich aber nicht verzichten und habe sie daher auf meinem PC, zu dem nur ich Zugang habe, gespeichert.

1. Lagern diese PWs wirklich einfach unverschlüsselt auf der Festplatte?
2. Schützt das optionale Masterpasswort die anderen Passwörter? (Verschlüsselt es sie?)
3. Was muss ein Angreifer machen, um sich die PWs zu beschaffen? (Trojaner->signons2.txt öffnen? - Darin stehen ja nur seltsame Zeichenketten)


Vielen Dank für eure Hilfe!

[GermanysMrX]

1. Passwörter speichern ist immer ein sicherheitsrisiko
2. Ist Firefox ein schrott (darum verwende ichs auch nicht; kanns also nicht ganz sicher sagen)... vermute doch aber dass er nicht so primitiv programmiert wurde, dass er die PWs unverschlüsselt speichert... Trotzdem musst du immer davon ausgehen dass diese entweder n der Registry oder im Programmverzeichnis als Hash abgelegt werden und den kann jeder angreifer selbstverständlich knacken... je nach Hashlänge bzw. ggf. auch Salt kann das praktisch unmöglich sein... wenns aber nur ein ungesalteter MD5 ist und das Passwort 12354 (manche meinen das sei sicherer als 12345) heißt kann man das natürlich in sekunden knacken

[05071991R]

http://www.firefox-browser.de/wiki/Passwort-Manager
http://www.google.at/search?q=firefo...ient=firefox-a

@ober mir
wieso is firefox schrott?

[007123]

Zitat:

Zitat von 05071991R

http://www.firefox-browser.de/wiki/Passwort-Manager
http://www.google.at/search?q=firefo...ient=firefox-a

Ok, ich hab gelesen, dass es verschlüsselt wird, aber ob es sicher ist oder nicht, weiß ich immer noch nicht. Signons2.txt sieht mit und ohne Masterpasswort identisch aus.

Wie kann man die Verschlüsselung knacken? Das sollte ja überall der gleiche Schlüssel sein...

Einfach fremde signons2.txt bei sich importieren und schon hat man alle Passwörter?

[GermanysMrX]

Zitat:

Zitat von 05071991R

@ober mir
wieso is firefox schrott?

weil FF langsam und meines Erachtens nur für Anfänger gut ist...
und das hier die Aussage eines überzeugten Opera-Users ist

[Bonser]

Naja, aber nur weil du einen Anderen Browser besser findest, solltest du nicht sagen dass der FF Schrott ist. Wer weiß, vlt. speichert ja Opera die Passwörter genau so sicher/unsicher wie der FF.

[GermanysMrX]

naja das war mit einer gewissen ironie

[Andrain]

Zitat:

Zitat von GermanysMrX

weil FF langsam [...] ist

Firefox 3 Performance Gets a Boost

Dass Firefox 3 einen deutlich geringeren Speicherverbrauch als Opera hat, muss ich erst gar nicht erwähnen.

[aNtiCHrist]

Zitat:

Lagern diese PWs wirklich einfach unverschlüsselt auf der Festplatte?

Nein, wie du schon festgestellt hast, sind die Daten in der signons2.txt verschlüsselt. Allerdings liegt ohne Masterpasswort der Schlüssel auch in der key3.db auf der Festplatte herum. Man kann die Daten also wieder entschlüsseln. Das muss ja auch so sein, denn sonst könnte Firefox es auch nicht.

Zitat:

Schützt das optionale Masterpasswort die anderen Passwörter? (Verschlüsselt es sie?)

Ja, das Passwort wird zur Verschlüsselung genutzt. Ich weiß zwar nicht, welcher Algorithmus verwendet wird, aber es wird ein anerkannter Standard ohne bekannte Schwachstellen sein. Bei ausreichender Passwortlänge sollte das Verfahren sehr sicher sein.

Zitat:

Was muss ein Angreifer machen, um sich die PWs zu beschaffen?

Ohne Masterpasswort: Die Daten von signons2.txt und key3.db auslesen und sie dann z. B. in das eigene Firefox-Profil einfügen.
Mit Masterpasswort müsste zusätzlich dieses in Erfahrung gebracht werden, die Dateien alleine sind dann wertlos.

Zitat:

Trotzdem musst du immer davon ausgehen dass diese entweder n der Registry oder im Programmverzeichnis als Hash abgelegt werden

Ein Hash wäre ziemlich unklug, denn daraus könnte ja auch Firefox selbst die Passwörter nicht mehr zurückgewinnen. Ein Hash-Algorithmus zeichnet sich doch gerade dadurch aus, dass es keine Umkehrfunktion gibt. Man kann lediglich nach Daten suchen, die den gleichen Hashwert generieren. Das ist aber keine Garantie dafür, dass es auch die gleichen Daten sind.

Firefox ist übrigens ganz gewiss kein Schrott, sondern ein moderner, sehr gut benutzbarer Browser, der zudem durch seine Modularität extrem flexibel ist. Die Modularität macht ihn vor allem für eher spezielle Anwendungsfälle sehr interessant, es ist also mitnichten nur was für Anfänger. Man denke nur an die Webentwicklung, wo Opera bis vor wenigen Tagen dem DOM-Inspector oder Firebug nichts gleichwertiges entgegensetzen konnte. Oder an Adblock Plus, gegen das der in Opera integrierte Filter nicht mithalten kann.

Opera hat ohne Frage seine Stärken, allerdings hat Firefox über die Jahre (vor allem durch die Vielzahl exzellenter Erweiterungen) sehr stark zugelegt. Es gibt aus funktioneller Sicht eigentlich kaum noch Gründe, die klar für Opera sprechen.

[007123]

Hallo aNtiCHrist

Danke für die genaue und vor allem beruhigende Antwort.
Ich nehme an, dass das im Thunderburd ähnlich ist, obwohl ich ihn noch nie gestestet habe...

[aNtiCHrist]

Davon ist auszugehen, immerhin haben beide Programme eine große gemeinsame Codebasis.