Beiträge von madblueimp

Das Problem bei mehreren Login-Seiten unter der gleichen Domain, aber mit demselben Benutzernamen liegt an der Weise, wie Firefox Passwort-Manager die Benutzernamen speichert:

Firefox Passwort-Manager merkt sich nur das Protokoll, die zugehörige Domain sowie die Portnummer.
Nicht gespeichert wird der genaue Pfad zur Login-Seite.

Die Secure Login Erweiterung ändert nur die Art des Einloggens, nicht das Speichern der Passwörter. Secure Login baut in dieser Hinsicht komplett auf den in Firefox integrierten Passwort Manager.

Erst seit Version 2.0.0.2 (also der letzten), merkt sich Firefox zusätzlich den Wert des "action"-Attribut des Formulars. Der ist aber bisher leider nicht für Erweiterungs-Entwickler zugänglich.
Dahingehend hatte ich in den Mozillazine Foren einen Beitrag verfasst und anschließend auch einen Fehlerbericht.

Es wäre gut, wenn sich mehr Leute für den Bug eintragen würden, damit er schneller behoben wird.

Jetzt verstehe ich auch, warum in deinen Beispiel-URL's "/phpmyadmin" aufgelistet war - das Problem kenne ich nämlich (ich beschreibe es hier nochmal für andere Leser):

Bei vielen Shared Webhosting Angeboten bekommt man unter der gleichen Domain aber unterschiedlichen Pfaden URL's für den Login auf die Verwaltungs-Oberfläche (oftmals Confixx oder Plesk) und die mit PHP realisierte MySQL-Administration (phpmyadmin).
Beide Logins benutzen meist den gleichen Benutzernamen (z.B. web123) jedoch unterschiedliche Passwörter.

Da Firefox für denselben Benutzer unter derselben Domain nur einen Eintrag speichert (falls auch das form action Attribut auf die gleiche Domain verweist), kann in diesem Fall immer nur jeweils ein Passwort gespeichert werden (entweder das für phpmyadmin oder das für z.B. Confixx).

Abhilfe schafft hier folgendes:
- Einen der beiden Zugänge über eine alternative Domain/Subdomain aufrufen, falls das möglich ist, oder
- die IP-Adresse statt der Domain verwenden, falls nicht die Zuordnung der Domain zu einem Virtual Host nötig ist

Der Eintrag in deiner signon.txt sieht allerdings nicht nach einem Formular-Login aus, sondern nach einer HTTP Basic Authentication, die auf einem Apache-Server z.B. über .htaccess eingerichtet werden kann.

Denn soweit ich vermute, speichert Firefox den HTTP-Standard-Port (80) nur bei eben diesem Authentifizierungs-Verfahren - so sieht es jedenfalls in meiner signons.txt aus.

Nachtrag:
Auch mit installierter Secure Login Erweiterung kann Firefox Passwort Manager noch zum Ausfüllen von Formular-Feldern verwendet werden (statt der Secure Login Methoden):
Einfach einen Doppenklick in das Benutzer-Feld, danach sollten die Benutzer in einem Drop-Down-Feld angezeigt werden.

Secure Login hat eine eigene Hilfe, zu finden unter => Extras => Secure Login => Secure Login Hilfe ... oder über das Kontext-Menü des Secure Login Icons.

Einer der Hilfe-Punkte lautet folgendermaßen:

Zitat

Warum füllt Firefox Login-Felder nicht mehr automatisch aus?

Secure Login deaktiviert das automatische Ausfüllen von Login-Feldern.
Stattdessen hat man mehrere sicherere und komfortablere Alternativen um sich einzuloggen.

Es ist also Absicht, das signon.prefillForms (bzw. in Firefox 3 Alpha signon.autofillForms) auf false gesetzt wird, so lange Secure Login installiert ist. Bei einer Deinstallation oder Deaktivierung von Secure Login wird der Wert wieder auf seinen ursprünglichen Zustand gesetzt.

Wie du dich mit Secure Login einloggen kannst, ist auch in der Hilfe beschrieben.
Falls mehrere Logins vorhanden sind (Firefox speichert Passwörter jeweils für eine Domain, nicht für einzelne Unterseiten wie /phpmyadmin, /user oder /login), wird beim Login mit Secure Login eine Dialogbox zur Auwahl des Benutzers angeboten.

Vielleicht meinst du aber auch etwas anderes?

Danke.

Version 0.7.0.1 freigegeben:

- Aktualisierte französische Übersetzung
- Neue chinesische Übersetzung

https://blueimp.net/mozilla/xpi/changelog.txt

Zitat von Cheffi

Update Notifier meldet ein neues Update: Secure Login Version 0.7i

Neben einem kleinen Bugfix (Der "Alle Entfernen" Button wurde nicht aktiviert, wenn zu einer leeren Ausnahmen-Liste eine Website hinzugefügt wurde), hat das Update vor allem einen Grund:

Ich hab mir die neue Firefox Version 3 angeschaut (3.0a3pre) und die neue Rendering-Engine ist ja wirklich mal genial schnell.

Daher musste ich Secure Login kompatibel zur kommenden Firefox Version machen. Da ich vermute, das sich die Secure Login betreffenden API's nicht mehr ändern werden, habe ich als maximale Version sogar schon 3.0 angegeben. So muss ich nicht bei jedem neuen Build von Firefox 3 eine neue Version rausgeben, die sich nur im Versions-String ändert.

Zitat von Panther999

Alternative wäre Roboform benutzen, der kommt damit klar.

Roboform hat allerdings auch einen etwas anderen Hintergrund als Secure Login:

- Hinter AI Roboform steht eine kommerzielle Firma (Siber Systems)
- Secure Login wird von einem Studenten in seiner Freizeit entwickelt

- AI Roboform ist schon etwas länger am Markt (seit 1999)
- Secure Login wurde erst dieses Jahr (Anfang Februar 2007) begonnen, inmitten der Prüfungszeit und als Einstieg in die Entwicklung von Firefox-Erweiterungen

- AI Roboform speichert Passwörter und Formular-Daten in einer eigenen Datenbank
- Secure Login nutzt den in Firefox eingebauten Passwort Manager

- Die Erweiterung AI Roboform Toolbar funktioniert nicht ohne das zugehörige Programm und ist daher nur für Windows verfügbar
- Secure Login ist eine reine Firefox Erweiterung und funktioniert daher auch unter Mac OS X und Linux

Wer trotzdem lieber AI Roboform nutzt, kann das gerne tun.

Richtig, es ist genau das gleiche Problem wie bei gawab.com:
Als Benutzername wird hier der "Mitbenutzer" gespeichert (siehe gespeicherte Passwörter).

Das liegt daran, das Firefox Passwort Manager nur diese beiden Felder speichert.
Schau mal in deine gespeicherten Passwörter, dort wirst du für die Website gawab.com als Benutzernamen nicht deinen Benutzernamen finden, sondern "gawab.com".

So lange Firefox Passwort Manager nicht weitere Felder merkt, kennt auch Secure Login nicht mehr.

In diesem Fall musst du also deinen Benutzernamen von Hand eintippen oder eine Erweiterung wie ConQuery dafür nutzen und kannst dich dann per Secure Login einloggen.

Seit dem Release der Version 0.6.4 (gestern) gibt es jetzt auch ein Changelog mit den Versions-Änderungen (0.1.2 bis zur aktuellsten Version).

Wichtig:
In der neuesten Version gibt es eine Änderung, wo Secure Login die Einstellungen speichert:

Zitat

- The Secure Login preferences branch has been moved from "secureLogin" to "extensions.secureLogin@blueimp.net"

Important notice:
The preference branch has been moved to prevent conflicts with other Firefox extensions or components,
which might happen in the future if the same name is used.
You're old preferences aren't lost but won't be loaded by the new Secure Login version.

To get them back, do the following:
- Shutdown firefox
- In your profile folder, open prefs.js
- Remove lines that contain the new preference string ("extensions.secureLogin@blueimp.net")
- Search for the string "secureLogin" and replace every occurrence with "extensions.secureLogin@blueimp.net"
- Restart firefox, you should now have your old preferences back

Alles anzeigen

Zu deutsch:
Die alten Einstellungen sind nicht weg, sonder nur unter altem Namen vorhanden.
Um sie zurückzubekommen, muss man folgendes tun:
- Firefox beenden
- Im Profil-Ordner prefs.js öffnen
- Alle Zeilen entfernen, in denen die neue Einstellungs-Zeichenkette steht ("extensions.secureLogin@blueimp.net")
- Suchen + Ersetzen von "secureLogin" mit der neuen Zeichenkette "extensions.secureLogin@blueimp.net"
Neustart von Firefox

Das ganze lohnt sich aber eigentlich nur, falls man
a) Keine verwaisten Einträge in der prefs.js Datei mag oder
b) Eine lange Liste von Ausnahmen angelegt hat

Ansonsten kann man mit ein paar Mausklicks die Einstellungen auch wieder manuell herstellen.

Version 0.6.3 freigegeben:

- Registrierungs- und Passwort-Änderungs-Formulare werden nicht mehr als Login-Formulare erfasst
- Die Hilfe wurde erweitert
- Der Homepage-Link der Hilfe-Seite öffnet sich nun in einem neuen Tab
- Die Beschreibung der Erweiterung ist nun lokalisiert (derzeit nur Englisch und Deutsch)
- Der angezeigte Pfad der Sound-Dateien ist nun plattformspezifisch

Panther999:
http://www.squarefree.com/bookmarklets/f…member_password

Ich nehme dann an, das diese Seiten das Attribut "autocomplete=off" nachträglich hinzugefügt haben.

Das liegt nicht an einer Änderung des Passwort Managers - das Feature, das Webseiten das Speichern der Passwörter unterbinden können, ist schon länger integriert, ich halte es allerdings selbst auch nicht für sinnvoll.

Du kannst für diese Seiten aber trotzdem die Passwörter speichern lassen:

Zitat

Bei manchen Seiten, welche das Speichern der Passwörter nicht erlauben, hilft ein sogenanntes "Bookmarklet", in diesem Fall "remember password", zu finden unter der folgenden Adresse:
http://www.squarefree.com/bookmarklets/forms.html

michael815:
Vielen Dank für den Hinweis, du meinst bestimmt speziell die Seite http://www.finanzen.net/user/user_uebersicht.asp , dort wird auf der gleichen Seite ein Login-Formular und ein Registrierungs-Formular angeboten.
Ich hatte in früheren Versionen eigentlich eine Abfrage, um Registrierungs- und Passwort-Änderungs-Formulare auszuschließen, allerdings habe ich diese Abfrage wohl bei einer der größeren Änderungen nicht mehr mit einbezogen.

In der nächsten Version 0.6.3, die heute noch freigegeben wird, ist diese Abfrage wieder mit drin und es wird z.B. auf der oben genannten Seite nur noch ein Login-Formular erfasst.

S.i.T.:
Über den Link http://forum.wordpress-deutschland.org/newreply.php?d…quote=1&p=92078 werden tatsächlich zwei Login-Formulare auf der gleichen Seite angeboten. Daher ist es in diesem Fall gewollt, das man eine Auswahl bekommt, mit welchem Formular man sich einloggen will, da sie sich ja unterscheiden könnten (auch wenn das "action-Attribut" in diesem Fall gleich ist).
Ich werde die Hilfe für die nächste Version (0.6.3) noch erweitern, damit dieser Punkt klarer wird.

firetom:
Vielen Dank.

Mittlerweile ist Secure Login auch auf addons.mozilla.org gelistet.
Ich würde mich freuen, wenn ihr die Erweiterung dort bewerten würdet.

Mento:
Für das Speichern der Passwörter baut Secure Login auf den in Firefox eingebauten Passwort Manager. Secure Login ändert nur den eigentlichen Login-Vorgang.
D.h. falls Firefox Passwort Manager das Passwort nicht speichern kann, ist es auch für Secure Login nicht verfügbar.

Bei manchen Seiten, welche das Speichern der Passwörter nicht erlauben, hilft ein sogenanntes "Bookmarklet", in diesem Fall "remember password", zu finden unter der folgenden Adresse:
http://www.squarefree.com/bookmarklets/forms.html

Die Zeichenkolonnen, die man auslesen und ein einem Textfeld eingeben muss nennt man Captcha.
Falls eine Login-Webseite so ein Captcha erfordert, muss man dieses Textfeld zuerst ausfüllen und kann sich dann mit Secure Login einloggen.

Ich würde den Website-Betreiber allerdings fragen, warum er solch ein Captcha für jeden Login-Vorgang erforderlich macht? Mal abgesehen davon, das dies Menschen mit Sehbehinderungen ausschließt, bringt es in diesem Fall auch keinen Sicherheitsgewinn. Wenn, dann machen Captcha's meiner Meinung nach eher bei der einmaligen Registrierung Sinn und dann auch nur in begrenztem Maße, da auch Captcha's durch Computerprogramme ausgelesen werden können.

Ratio:
Deine Beschreibung klingt natürlich ziemlich kritisch.
Es ist tatsächlich so, das Secure Login nach dem Laden jeder Seite nachschauen muss, ob
1. Login-Daten für diese Seite im Passwort Manager hinterlegt sind
2. Passende Formularfelder vorhanden sind
Allerdings sind das einfache Abfragen und ich habe sie so implementiert, das möglichst schnell abgebrochen wird:
Zuerst wird im Passwort Manager nachgeschaut, ob es passende Webseiten gibt, jedoch ohne die zugehörigen Passwörter zu entschlüsseln.
Falls ja, werden die Formulare über den DOM-Baum, durchgegangen und passende Formularfelder gesucht.

Insgesamt sollte die von Secure Login erzeugte Last also sehr gering sein.
Ich habe das auch soeben nochmal in einer virtuellen Maschine (256 MB RAM zugewiesen. Pentium-M-Laptop) unter Windows XP SP2 mit Firefox 2.0.0.2 getestet, und konnte keine Performance-Probleme feststellen.
Die Formularfelder wurden für die von dir genannte Beispielseite (computerbase.de) in Sekunden-Bruchteilen erfasst.

Ich kann daher also nur vermuten, das eine Dritte Komponente die hohe Last erzeugt.
Ich würde dir daher raten, Secure Login in einem frischen Firefox-Profil zu testen. Tritt die hohe Last immer noch auf, liegt es vielleicht an einer anderen Software, die ständig aktiv ist (Firewall, Virenscanner, etc.). Allerdings kann ich hier nur Vermutungen anstellen.
An Secure Login sollte es zumindest nicht liegen. Ich verwende die Schnittstellen, die mir Firefox anbietet und versuche immer, alles möglichst performant, ressourcenschonend und stabil zu implementieren.

S.i.T.:
Die Zahl in eckigen Klammern steht für den Formular-Index (steht eigentlich im Text direkt über der Liste der angebotenen Benutzer). Der Formular-Index sollte in den neuesten Secure Login Versionen nur erscheinen, falls es tatsächlich mehrere Login-Formulare auf der Seite gibt.
Ansonsten musst du mir die genaue Seite nennen, damit ich mir die Sache anschauen kann.

Zum Login-Formular bei Vodafone:
Nachdem ich mir den Quelltext der Seite angeschaut habe kann ich dir sagen:

Zitat

Das ist Web-Design/Entwicklung, wie man es nicht machen sollte.

Mal abgesehen davon, das die Seite für die Positionierung des Layouts HTML-Tabellen verwendet, anstatt das mit CSS zu machen, ist das Login-Formular einfach Müll:
Dort wird das Passwort-Feld versteckt und stattdessen ein "Dummy-Textfeld" angezeigt. Erst wenn man den Fokus auf das "Dummy-Textfeld" setzt, wird das eigentliche Passwort-Feld angezeigt und der Fokus dahin verschoben.
Ich frage mich, wer sich solch einen Müll ausdenkt? Abgesehen davon, das das Login-Formular auf diese Weise nur mit aktiviertem JavaScript nutzbar ist bringt das ganze einfach überhaupt nichts! Falls die bei Vodafone denken, das würde irgendeinem Sicherheitsgewinn dienen, sollten sie sich mal einen professionellen Dienstleister suchen, der sich mit Websicherheit auskennt.

In diesem Fall bringt es leider auch nichts, die Vodafone-Seite in die Ausnahmen-Liste aufzunehmen - Secure Login findet die passenden Formular-Felder nicht, weil das Passwort-Feld einfach noch nicht vorhanden ist (nicht angezeigt wird), solange man nicht in das "Dummy-Feld" geklickt hat. Daher kann Secure Login für die Seite keinen Login-Vorgang anbieten - und die Ausnahmen-Liste betrifft nur den Login-Vorgang selbst.

Ich würde dir daher empfehlen, Vodafone eine Nachricht zukommen zu lassen, das ihr Login-Formular "Müll" ist. Kannst ihnen auch gerne einen Gruß von mir ausrichten.

Nachtrag:
Ich habe mal geschaut, ob man hier ein Greasemonkey-Script einsetzen kann, allerdings speichert Firefox Passwort Manager schon den falschen Benutzernamen, nämlich den Wert dieses "Dummy-Feldes" - kann man sehen, in dem man sich die gespeicherten Passwörter anschaut.

Version 0.6.2 freigegeben:

Neue Funktionen:
- Das Secure Login Tastaturkürzel (ALT+N) lässt sich nun direkt über die Einstellungs-Seite ändern.
- Die Hilfe-Seite wurde weiter ausgebaut

ReVox:
Entschuldigung, das war einfach Bequemlichkeit, in dem ich die Release-Ankündigung von den mozillazine foren kopiert hatte.
Ich werde in Zukunft versuchen, die Ankündigung in Deutsch zu schreiben und habe den obigen Beitrag noch nachträglich ergänzt.

vommie:
Das Secure Login Update sollte seit Version 0.4.1 funktionieren, seit dieser Version steht im sogenannten "Install Manifest" die "Update URL".
Diese "Update URL" verweist auf die folgende XML-Seite:
https://blueimp.net/mozilla/update.rdf
(Mit zusätzlichen Parametern des anfragenden Clients)
Wenn ich eine neue Version freigebe, lade ich diese auf meinen Webspace (unter https://blueimp.net/mozilla/xpi) und ändere ansonsten nur die Versionsangaben und den Pfad in der Update Datei (update.rdf) und der Projektseite (https://blueimp.net/mozilla).

Alexxander:
Secure Login sortiert die Benutzernamen, die für eine Login-Seite zur Auswahl stehen gar nicht. Sie werden einfach so ausgegeben, wie sie der Enumerator des Passwort-Manager auflistet.
Und ich hab' auch gar nicht vor, sie sortieren zu lassen, da man auf diese Weise selbst festlegen kann, wie die Reihenfolge aussieht:
Und zwar ist es so, das dasjenige Benutzer+Passwort-Paar zuoberst gelistet wird, das als erstes gespeichert wurde.

Dein gewünschtes Feature ist also im Prinzip schon vorhanden:
Denjenigen Benutzer, den du als Standard benutzen möchtest, speicherst du also als erstes für diese Website und danach die weiteren Benutzer.

EDIT:
Direkt nach dem Speichern der verschiedenen Accounts ist die Sortier-Reihenfolge anscheinend genau umgekehrt, also der zuletzt gespeicherte Benutzer wird zuerst ausgegeben.
Nach einem Firefox-Neustart stimmt die Auswahl-Reihenfolge aber mit der Speicher-Reihenfolge überein.

Soo und jetzt bin ich ganz schön kaputt vom Judo-Traning und werde in Richtung des Bettes Wandern.

Zitat

Version 0.6.1 released - with new features:
- Option to hide the Secure Login Tools menu
- Extended Tools menu, now includes all items present in the statusbar icon context menu
- New help page item: "How to add websites to the JavaScript protection exceptions list"

http://forums.mozillazine.org/viewtopic.php?p=2771151#2771151

Auf deutsch:

Version 0.6.1 freigegeben - mit folgenden neuen Funktionen:
- Option das Secure Login "Extras"-Menü zu verstecken
- Erweitertes "Extras"-Menü, enthalt nun alle Elemente die auch im Statusbar Icon Kontext Menü vorhanden sind
- Neuer Hilfe-Seiten Eintrag: "Wie füge ich Websites zur JavaScript-Schutz Ausnahmen-Liste hinzu"

vommie:
AI Roboform nutzt, so weit ich weiß, nicht Firefox integrierten Passwort Manager sondern speichert die Login-Daten in einer eigenen Datenbank.

Secure Login baut dagegen auf Firefox Passwort Manager auf. Das Speichern der Passwörter wird allein vom integrierten Passwort Manager übernommen. Secure Login wird nur beim eigentlichen Einloggen aktiv und ist dabei auf die Daten angewiesen, die im Passwort Manager hinterlegt sind.

Klar wäre es möglich, mehr als nur die Felder für Benutzer und Passwort zu speichern. Ich halte das sogar für sinnvoll.
Wenn ich dieses Verhalten in Secure Login umsetzen würde, müsste ich jedoch eine parallele Datenbank zu der des Firefox Passwort Manager führen, was ich für weniger sinnvoll halte.

Ich würde das Feature gerne umsetzen, allerdings möchte ich weiter auf dem integrierten Passwort Manager aufsetzen und keine eigene Datenbank erstellen. Einer der Vorteile von Secure Login gegenüber anderen Login Managern für Firefox ist meiner Meinung nach der, das eben der integrierte Passwort Manager genutzt wird.

Wer dieses Feature wünscht sollte sich also am besten an die Firefox Entwickler wenden, vielleicht gibt es sogar schon einen Request oder Bug Eintrag dafür, den man unterstützen kann.

Sobald sich Firefox mehr Login Informationen merkt und ich als Addon-Entwickler darauf zugreifen kann werde ich diese Informationen auch nutzen.

Erst im letzten Bugfix (zur Firefox Version 2.0.0.2) wurde z.B. zusätzlich das "action"-Attribut mit zum Speichern im Passwort Manager aufgenommen - allerdings ist dieses "Property" bisher leider nicht für Addon-Entwickler ansprechbar (siehe http://forums.mozillazine.org/viewtopic.php?t=524163).

Lendo:
Deinen zweiten Vorschlag werde ich direkt in der nächsten Version umsetzen (wahrscheinlich sogar noch heute).

Ein Changelog auf der Webseite ist sicherlich auch eine gute Idee.
Aktualisieren sollte man aber bisher auf jeden Fall:
- Optional sollte das Update nur sein, wenn ich alte Firefox Versionen nicht mehr unterstütze, was aber bisher nicht der Fall ist.
- Funktionalität wurde bisher immer so ausgebaut, das sie möglichst optional ist oder insgesamt empfehlenswert.
- Support möchte ich derzeit nur für die jeweils aktuellste Version von Secure Login leisten.

Secure Login - Version 0.6 ist da:

Neue Features:
- Secure Login unterstützt nun Frames
- Secure Login Einstellungen über das Extras-Menü erreichbar
- Secure Login Hilfeseite (deutsch/englisch), erreichbar über Statusbar-Icon Kontext-Menü oder Extras -> Secure Login -> Secure Login Hilfe

Wem der zusätzliche Eintrag im "Extras-Menü" nicht gefällt, dem empfehle ich die Menu Editor Extension.

loshombre:
Es geht rein um Login-Felder, nicht allgemein Formularfelder.
Falls die nötigen API's (siehe Thema Kein Formular-Daten-Management in Firefox 2) wieder verfügbar sind, wäre eine Unterstützung von weiteren Forumlarfeldern, wie beim Opera Wand aber eine Überlegung wert.

Zitat

Version 0.5.4 released:
- Secure Login now uses the saved userFieldName and passwordFieldName rather than searching for related fields in the form elements list.

Apart from that, the Secure Login project page has been redesigned for better accessibility and a better look.

The built-in Password Manager auto-fill feature has been improved as stated on Mozilla Foundation Security Advisory 2007-02:

In my opinion, auto-filling user+pass is still not secure as requiring a user action as is done with Secure Login.
Unfortunately, the newly saved form destination url seems not accessible for extension developers so far (no property additional property), as I would have liked to include this check as well.
But the Secure Login option to ask for confirmation on domain change adds protection in a similar way.

http://forums.mozillazine.org/viewtopic.php?p=2766310#2766310

Version 0.5.3 released:
Der Formular Index wird jetzt nur angezeigt, wenn es wirklich mehr als ein valides Login-Formular auf der Seite gibt.

Hauptsache, die Extension selbst funktioniert.

Die Security-Tests sind jetzt nicht soo wichtig - Bloß ein Weg, Funktionalität zu demonstrieren, die man sonst nur im Fall eines Cross-site scripting Angriffes bemerken würde, was hoffentlich erst gar nicht passieren sollte.