In den Firefox-Einstellungen.
Beiträge von boardraider
-
-
JavaScript aktivieren/erlauben.
-
-
Das hat nichts mit Clickjacking zu tun. Das ist nur FUD in Verbindung mit Security-Buzzwords. Letztlich ist es simple JS-Maniuplation, die schon seit es JavaScript in Browsern gibt möglich ist.
[Blockierte Grafik: http://evil.hackademix.net/images/stallowned.jpg] -
Zitat
Der Firefox unter Windows verhält sich offenbar ein wenig anderes als unter Linux.
Wenn du das sauber analysieren willst, dann leg mit beiden ein neues, jungfräuliches und lokales Profil an und vergleiche dann.
-
-
Was nun Stylish/CSS oder JavaScript? *gg* Also weder Stylish noch GM können da etwas ausrichten.
JavaScript ja, soweit es in Form einer Erweiterung intern die Kodierungsansicht ändern kann. Deswegen die oben verlinkte Erweiterung.
-
Ist halt mal wieder typisch, Server sagt UTF-8, Meta-Tag iss nich und dann liefern sie vermutlich ISO-8859-1. Selbst wenn man UTF-8 als Präferenz schickt, kommt das so an...
-
Ich denke schon, dass du richtig lagst, war nur ein Wink
-
Nö, wie soll der Fx beeinflussen, wie schnell das vom Server geliefert wird? Soll der Fx mit dem Rendern der Seite warten bis der Server so weit ist? Das läuft asynchron.
-
Zitat
findet ihr net?
Nö.
Zitatwürde mich freuen, wenn hier eine rasche lösung gefunden wird
Bring dein System in Ordnung.
-
Wie oft legst du dir denn neue Accounts an? Also die Frage poppt doch i.d.R. mal alle zwei Wochen auf, wenn man sich irgendwo anmeldet.
ZitatZudem würde mich Interessieren ob jemand anderes, wenn er an meinem Rechner sitzt, meine nicht gespeicherte Passwörter rausfinden kann.
Deine "nicht gespeicherten" Passwörter kann er schlecht herausfinden, dazu müssten sie gespeichert sein. Er kann aber in der Ausnahmeliste sehen für welche Seiten du keine Passwörter speichern wolltest.
-
Bei schlechten Seiten könnte man vielleicht auch darauf zurückgreifen:
https://addons.mozilla.org/en-US/firefox/addon/8493 -
Zitat
>Was verstehst du dabei unter "Zugriff auf das File"?
FF hat eventuell Funktionen, die ihm erlauben auf die PW Datei zu zu greifen. Wenn ein Exploit die Nutzung dieser Funktionen erlaubt, dann hat man ein hohes Sicherheitsrisiko. Natürlich hätte eine Erweiterung auch Zugriff auf die Datei, aber der Unterschied ist ja, dass FF weit aus mehr Funktionen beinhaltet
Da der Fx den Erweiterungen über die Schnittstellen alles nötige zur Verfügung stellt, sind diese an sich genauso mächtig wie der Fx selbst in Bezug auf die Passwortverwaltung.
ZitatEin Plugin, das aus ein paar Zeilen Code besteht, hat vergleichsweise wenig Angriffsfläche.
Die Anzahl der Code-Zeilen ist kein geeigneter Maßstab um über Sicherheit bzw. eine mögliche Angriffsfläche zu diskutieren. Sehr viel Code kann nahezu sicher sein, wenn er bspw. keine Eingaben von außen verarbeitet. Kurzer Code kann kritisch sein, wenn er Input nicht validiert. Grundsätzlich kann man wohl diesbezüglich nur festhalten, dass die Wahrscheinlichkeit von Programmierfehlern natürlich mit der Menge des Codes ansteigt. Aber nicht jeder Fehler ist sicherheitskritisch und meist ist die konkrete Implementierung entscheidend, nicht die Anzahl der Zeilen.
ZitatEin Grundsatz im Sicherheitswesen für mich ist, dass man immer möglichst wenig Angriffsfläche bieten sollte.
Prinzipiell natürlich ein richtiger Gedanke.
ZitatJetzt wo ich darüber nachdenke, wird es mir noch deutlicher, dass Plugins ein großes Risiko sind.
Plugins genauso wie Erweiterungen. Plugins sind auf Grund der hohen Verbreitungsgrade natürlich interessante Ziele. Flash ist inzwischen fast auf jedem Rechner vorhanden. Erweiterungen sind hingegen sehr mächtig, weil sie über sehr viele Schnittstellen direkt mit dem Browser interagieren können.
ZitatIch halte zwar immernoch die externe Methode für nativ sicherer, aber man muss auch bedenken, dass diese Plugins von Privatpersonen entwickelt werden und FF von Profis, die auch regelmässige Patches rausbringen.
Also mir wäre neu, dass Sun oder Adobe von Privatpersonen ohne beruflichen Zugang betrieben werden. Dagegen wird der Fx weniger von Profis entwickelt, als seine Plugins. Zwar hat Mozilla auch einen Stamm an bezahlten Fachkräften, viel Arbeit wird aber auch von der Community geleistet. Die Plugins werden hingegen i.d.R. von Software-Firmen entwickelt.
ZitatEin weiterer Vorteil eines Plugins ist es auch, dass sie kaum verbreitet sind, und ein Angriff sich kaum lohnenwürde.
Flash? Über 90%? Wenig verbreitet?
ZitatImmerhin reden wir über FF, der verglichen zum IE bereits sehr unverbreitet ist.
So verbreitet, dass er inzwischen ein lohnenswertes Ziel ist.
-
Mit den Einstellungen
noscript.consoleLog true
noscript.consoleDump 1
javascript.options.showInConsole truezeigt NoScript auch in der Fehlerkonsole an, falls es aktiv wird. Ist zum Prüfen in solchen Fällen gelegentlich hilfreich.
-
Das ist natürlich nur ein workaround, keine Frage. Ich würde mir auch wünschen, dass dieses Problem endlich behoben wird. Wie man sieht geht es ja ohne Admin-Rechte wunderbar. Letztlich bräuchte es zur Korrektur wirklich nicht viel.
-
Falsche Zeichenkodierung.
-
http://www.withinwindows.com/files/uac/poc.vbs.txt *eg*
Ich halte das auch für einen gewaltigen Rückschritt. Aber wie du richtig schreibst, Microsoft müsste das auf die Reihe bekommen, insbesondere in dem sie endlich von diesen veralteten Paradigmen abweichen. Vor Windows 8 wird das wohl nix mehr. -
Zitat
>Kann man eigentlich einstellen dass das Masterpasswort vom Fx nur abgefragt wird
>wenn man sich wo aktiv einloggen will, und nicht schon wenn nur Accountdaten für eine
>Seite verfügbar sind die man ansurft?Schau mal den Link an, den ich zu letzt gepostet habe. Dort gibt es ein Plug in, das nennt sich Master Wort Time out oder so ähnlich und führt dazu, dass man man nach einer vordefinierten Anzahlvon Sekunden seni MPW wieder neu eingeben muss.
Außerdem gibt es da noch irgendwo ein Plugin auf der Site, bei dem man sich immer nur aktiv einloggen kann, nicht automatisch. D.h. man muss vor jedem Login eine manuelle Bestätigung tätigen.Mit letzterem meinst du vielleicht Secure Login. Allerdings handelt es sich bei dem geschilderten Phänomen um einen Bug, der auch schon in Bugzilla eingetragen ist. Bspw. dort:
https://bugzilla.mozilla.org/show_bug.cgi?id=400680
Mir ist keine Erweiterung bekannt, die diesen Bug patcht.ZitatWarum ich ein externes Plugin zum verwalten des Passworts nutzen würde liegt daran, weil die interne Funktion erstens am häufigsten verbreitet ist, dadurch vermute ich, dass sich auch die meisten Attacken dagegen wenden
Sind dir aktuelle Angriffsmöglichkeiten bekannt? Prinzipiell bieten dir solche Konstrukte nur bei einem unspezifischen Angriff einen gewissen "Schutz".
Zitatzweitens kann ein Angreifer sich bei einem externen Programm den Pfad schlechter erschließen, indem das Pw gespeichert ist
Was nicht ausschließt, dass er das trotzdem kann, wenn er in der Lage ist in deinem System auf das Dateisystem lesend zuzugreifen.
Zitatund drittens hat FF ja Zugriffsrechte auf das PW File, d.h. wenn man den Browser komrpomitiert hat, dann hat man vielleicht Zugriff auf das File.
Was verstehst du dabei unter "Zugriff auf das File"? Grundsätzlich könnte bspw. bösartiger Chrome-Code auf die Daten zugreifen, ebenso könnte der Code dann auch in deinem Dateisystem nach anderen Passwortspeichern suchen. Die gefundenen Daten könnte der Code auch zum Angreifer schicken, der mit Passwortcrackern offline die Dateien beackert. Solltest du dich mit deinem Masterpasswort authentifiziert haben, wäre der Code auch in der Lage direkt auf die Passwörter zuzugreifen.
ZitatWährend FF auf ein externes Element sicherlich nicht zugreifen könnte, weil die sich selber steuern, schätze ich.
Eine bösartige Erweiterung kann mit deinem System so viel anfangen wie dem Browser-Prozess Rechte zustehen.
-
Verfolg doch mal, wann genau das Stylesheet im Vergleich zum Rest der Seite geladen wird. Ansonsten Link zur Seite?