Beiträge von madblueimp

Nein, den Haken bei "Passwörter speichern" musst du drin lassen. SecureLogin nutzt den integrierten Passwort-Manager von Firefox. Der Unterschied ist das eigentliche "Einloggen".
Auch die Cookies kannst du aktiviert lassen. Ohne Cookies wirst du bei manchen Seiten erst gar nicht eingeloggt, wenn sie deine Session nicht auch über die URL speichern.

Das du trotzdem schon eingeloggt bist liegt an deinen schon gespeicherten Cookies. Das ist aber in Ordnung so.

SecureLogin ist dazu da, dich sicher und komfortabel bei Seiten einzuloggen, für die du noch keine Cookie gespeichert hast, deren Cookies du schon gelöscht hast oder deren Cookie-Session schon abgelaufen ist.

Dazu muss ich nicht mal meinen Webhoster fragen, dank Apache und .htaccess habe ich das eben aktualisiert:

# Handle .xpi files as firefox extensions:
RemoveHandler .xpi
AddType application/x-xpinstall .xpi

Es kann allerdings sein, das, wenn du die Datei eben angeklickt hast sich Firefox anscheinend den falschen MIME-Typ merkt, war jedenfalls bei mir so. Nach einem Browser-Neustart hat es aber funktioniert.

Ich hab meinen Webhoster gewechselt.

Die neuen DNS-Einträge haben sich vielleicht noch nicht auf alle Server verbreitet.
Bis dahin kann man auch direkt die neue IP verwenden:

http://80.83.114.72/mozilla/

Zitat

Version 0.3 has been released.

Bugfixes:
- The updateStatus method had been called twice onStateChange - fixed

New features:
- Statusbar icon indicates if JavaScript event handlers are present for logins
- Tooltip (statusbar and toolbar) indicates if JavaScript event handlers are present for logins
- A sound can be played if JavaScript event handlers are present for logins
- Another sound can be played if logins have been found (but no event handlers)

Notice:
Sound files are not included. The settings dialog allows to choose them from the local filesystem.
The audio files must be Wave-Audio (*.wav) and should be very short.

Important:
JavaScript event handler search is only active if valid logins found.
Only the event handlers associated with the login action are analyzed.

https://blueimp.net/mozilla/

Alles anzeigen

http://forums.mozillazine.org/viewtopic.php?p=2736785#2736785

D.h. Sounds können jetzt optional aktiviert werden.
Ich habe es so implementiert, das es mir sinnvoll erscheint, nämlich in dem bei vorhanden, dem Login-Vorgang (z.B. onsubmit) zugeordneten JavaScript Event-Handlern eine Warnung ausgegeben werden kann.

Es wäre nicht schlecht, wenn jemand mal verschiedene JavaScript Events aus HTML-Seiten heraus testen würde, um die Zuverlässigkeit der Option "JavaScript Event-Handler vor dem Login deaktivieren" zu überprüfen.
Getestet werden soll der Versuch, die Login-Daten zu stehlen (im Test per alert ausgegeben), die SecureLogin direkt vor dem submit in die Formularfelder einträgt.
Das habe ich zwar die letzten Stunden schon die ganze Zeit getestet, aber vielleicht übersehe ich ja auch irgend etwas... ist auch schon spät/früh. :roll:

S.i.T.: Ein Sound beim Login wäre machbar, ist jetzt auf meiner Prioritäten-Liste aber nicht ganz oben.

Zitat

Version 0.2 has been released.

Bugfixes:
- Form elements not of type="text" between user and password field are now ignored in searching the login fields.

New features:
- Settings menu
- Context menu on status bar icon to open the settings
- Option to hide the status bar icon
- Option to deactivate JavaScript event handlers on login *

* This can prevent XSS (Cross Site Scripting) attacks to steal your login data without having to deactivate JavaScript completely.

https://blueimp.net/mozilla/

http://forums.mozillazine.org/viewtopic.php?p=2736231#2736214

@Brummelchen: "Opera's Wand" steht eigentlich für "Opera's Zauberstab". Habe leider nicht beachtet, das "Wand" in der deutschen Sprache ja schon vorbelegt ist.

firesteff und Cheffi : Freut mich das es auch gefällt.

Neuigkeiten dazu werde ich wahrscheinlich immer in diesem Thread posten:
http://www.firefox-browser.de/forum/viewtopic.php?t=46608

Parallel dazu auch auf dem Mozillazine-Forum:
http://forums.mozillazine.org/viewtopic.php?p=2730048

Ich habe diese Extension aus zwei Gründen geschrieben:

Erstens, weil ich es komfortabler finde, sich per Shortcut (ALT+N) oder einen Toolbar Button einzuloggen, anstatt den Submit Button auf der Seite zu suchen.

Zweitens, weil es eine Sicherheitstechnische Verbesserung darstellt, die Login-Felder nicht automatisch auszufüllen.

Warum ist das automatische Ausfüllen der Login-Felder unsicher?

Es ist deswegen unsicher, weil der Passwort-Manager von Firefox die Login-Daten nicht explizit für eine bestimmte Webseite (z.B. http://example.org/trusted/login.htm) speichert, sondern immer für eine Domain, bzw. Subdomain (example.org).
Das setzt voraus, das allen Webseiten unterhalb dieser Domain das gleiche Vertrauen entgegengebracht werden kann.
Genau das ist aber nicht immer der Fall. Denn manche Websites teilen sich die Domain oder Subdomain und befinden sich nur in unterschiedlichen Unterverzeichnissen.
Falls wir also für die Seite http://example.org/trusted/login.htm Login-Daten hinterlegt haben, und danach auf http://example.org/evil/page.htm surfen, braucht es keine XSS-Lücke, unsere Login-Daten werden automatisch in vorhandene Formular-Felder eingetragen (da wir sie ja für die selbe Domain hinterlegt haben) und können bei aktiviertem JavaScript sogar ohne weiteres zutun automatisch abgeschickt werden.

Genau vor diesem automatisiertem Phishing schützt meine Extension, da eine Benutzeraktion nötig ist, um die Login-Daten einzutragen.

Natürlich muss man auch mit SecureLogin darauf achten, das man sich auf der richtigen Seite einloggt, und nicht auf einer Phishing-Seite mit ähnlich klingender URL und gleichem Aussehen.

Seit der Version 0.1.4 kann man mit SecureLogin durch "hovern" über eines der Icons (Statusbar oder Toolbar) auch das Ziel des Logins, die URL des "action"-Attributs des Formulars überprüfen.

Letztlich kann das aber nicht vor direkter Manipulation der Login-Seite schützen. Schafft es ein Angreifer, z.B. durch Cross-Site Scripting eigenen JavaScript-Code einzubetten, kann er z.B. das action-Attribut erst beim Submit des Formulars manipulieren.

Auch zu diesem Szenario habe ich mir beim Entwickeln der Extension Gedanken gemacht. Um solche Manipulationen zu unterbinden, müsste man alle JavaScript-Event-Handler kontrollieren, die direkt mit dem Login-Formular in Zusammenhang stehen.

Das deaktivieren dieser Event-Handler würde aber vielleicht auch zu Komplikationen mit Login-Seiten führen, die selbst JavaScript verwenden, z.B. für die Client-seitige Überprüfung der Eingabedaten.

Es bleibt aber eine Option, die ich vielleicht mal integrieren werde.

Bis dahin hilft es auch einfach, JavaScript selbst für die vertrauenswürdige Seite (zumindest für das Login-Formular) zu deaktivieren, z.B. mit der NoScript-Extension, die ich auch allgemein als Sicherheits-Erweiterung unbedingt empfehlen würde.

Vor client-seitigem XSS kann man sich auch einfach schützen, in dem man Login-Formulare direkt über die URL aufruft, z.B. aus den Lesezeichen.

Als Referenz, die mich auch mit zur SecureLogin-Extension inspiriert hat, hier noch einmal die Heise-Security-Meldung:

Passwort-Manager von Firefox erleichtert Phishern die Arbeit

Zitat

Version 0.1.4 released:
http://blueimp.net/mozilla/

New Feature:
If you hover over one of the Secure Login icons, the target webpage is shown in a tooltip, as well as the number of available logins.

Nein, die neue Version fixt nur das signon.prefillForms-Problem. Ansonsten hat sich nichts geändert zur Version davor (0.1.3).

In der Version 0.1.3 gab es im Vergleich zur Version 0.1.2.1 im Zusammenhang mit der besseren Keyboard Shortcut Verknüpfung auch noch einen kleinen Fix:
Falls der SecureLogin button nicht in der Toolbar war, wurde trotzdem darauf zugegriffen, was einen JavaScript-Fehler geworfen hat. Es ist jedoch unwahrscheinlich, das dieser Fehler das beschrieben Verhalten hervorgerufen hat.
Die Version 0.1.2.1 hat nur den Keyboard Shortcut von ALT+Komma auf ALT+N geändert.

Prima.

Hast du eine Ahnung, woran es gelegen haben könnte? Also mit welcher Extension es in Bezug auf SecureLogin Probleme gegeben haben könnte?

Zitat

Version 0.1.3.1 released:
http://blueimp.net/mozilla/

This is a minor bugfix release. If you uninstalled previous versions, the setting for signon.prefillForms didn't get re-enabled.
Now it remembers the setting on load and resets it on exit.

If you installed previous versions and want to re-enable the prefilling of forms, do the following:
1. Input about:config in your address bar.
2. Search for the key signon.prefillForms.
3. Doubleclick to change its value from false to true.

http://forums.mozillazine.org/viewtopic.php?p=2729500#2729500

Die anderen beiden Bugs (1. Adresszeile ändert nicht die URL bei einem neuen Tab mit anderer URL, 2. plötzliches Umhergespringe zwischen den Tabs) konnte ich leider nicht reproduzieren.

Könntet ihr es vielleicht testen, in dem ihr eure anderen installierten Extensions temporär deaktiviert? Oder noch besser, mit einem alternativen, frischen Firefox-Profil?

Ich würde die Fehler gerne lösen, das kann ich aber nur, wenn ich die Fehlerquelle kenne. Leider treten bei mir sowohl mit Firefox Version 1.5.0.9 und Firefox Version 2.0.0.1 keine Probleme auf, daher kann ich eure Beschreibungen bisher nicht nachvollziehen.

Auch parallele Extensions machen bei mir keine Probleme:
https://blueimp.net/forum/viewtopic.php?p=8031#8031

@S.i.T:
Nein, der Schlüssel erscheint nicht durch "hover" über den "Homebutton". Damit der Schlüssel in der Toolbar auftaucht, muss man ihn selbst dort platzieren:

--> Rechtsklick auf die Toolbar (z.B. den "Homebutton") --> Anpassen

Dadurch poppt ein Menü mit dem Titel "Symbolleiste anpassen" auf. Dort kann man dann den SecureLogin-Schlüssel "anfassen", und per Drag-and-Drop (Ziehen und Fallenlassen) auf der Symbolleiste platzieren.
Der Toolbar button hat die gleiche Funktionalität wie das Statusbar Icon.

Das Tastatur-kürzel (ALT+N) funktioniert allerdings nur, wenn man den SecureLogin-Schlüssel in der Toolbar hat.

MonztA (Tastenkürzel):
Das Tastatur-Kürzel war in der Version 0.1.2 Alt + , (Komma) .
Seit der Version 0.1.2.1 habe ich das allerdings auf ALT+N umgestellt (Die einzige Änderung in diesem Versions-Sprung).

Der ALT+N Keyboard Shortcut ist laut http://kb.mozillazine.org/Keyboard_short…s_%28Firefox%29 auch noch nicht vergeben und sollte zumindest in der Deutschen und Englischen Firefox Version nicht mit Menü-Shortcuts kollidieren.

ALT+N ist leichter mit einer Hand zu erreichen und eventueller besser zu merken, da "SecureLogin" mit diesem Buchstaben endet. ALT+S wird leider schon von der Extension "Sage" verwendet.

Das Tastatur-kürzel funktioniert allerdings nur, wenn man den SecureLogin-Schlüssel in der Toolbar hat.

MonztA (Bug):
Könntest du den Fehler vielleicht näher (genauer) beschreiben? Leider kann ich ihn so nicht nachvollziehen.

Release der Version 0.1.2:

Zitat

I just released a new version, fixing the "not updating status on tab change"-bug, as well as User Interface improvements (resizing of icons, proper disabling of toolbar button, pointer-cursor for status bar icon).

Download Version 0.1.2 from:
http://blueimp.net/mozilla/

Lustige Beschreibung. :lol:

Eigentlich steht "Wand" ja für Zauberstab, denn das Icon in Opera hat diese Form. Um Namensrechten aus dem Weg zu gehen habe ich meine Extension aber SecureLogin genannt, auch weil ich glaube, das Logins so sicherer sind, als durch das automatische Formular-Felder ausfüllen, wie es Firefox standardmässig macht.

Ich hab die Extension Ankündigung auch im mozillaZine-Forum eingetragen und schon auf die ersten Requests geantwortet:

http://forums.mozillazine.org/viewtopic.php?t=515894

Gruß,

Sebastian

Secure Login [Blockierte Grafik: https://blueimp.net/mozilla/img/secure-login-icon.png]

Secure Login ist eine Login-Erweiterung für Mozilla Firefox integrierten Passwort Manager.
Die Hauptfunktion von Secure Login ähnelt Opera's (der Browser) Wand-Login (Zauberstab-Login).

[Blockierte Grafik: https://blueimp.net/mozilla/img/screenshots/preview/secure-login-01.png]

Projektseite (englisch):
http://securelogin.mozdev.org/

Hi, auch wegen dieser Sicherheits-Meldung hab ich eine kleine Extension-Geschrieben, die Opera's Wand nachbildet:

http://www.firefox-browser.de/forum/viewtopi…start=30#344741

https://blueimp.net/forum/viewtopic.php?t=334

https://blueimp.net/mozilla/

Damit ihr der Extension vertraut, bevor sie durch den Review auf addons.mozilla.org geht, könnt ihr die XPI-Datei öffnen (ist ein ZIP-Archiv) und die Quelltexte sichten. Es ist nur eine JavaScript-Datei enthalten deren Quelltext recht übersichtlich ist.

Gruß,

Sebastian

Hi, da ich das Feature "Opera Wand" auch vermisst habe, hab' ich mich mit meiner ersten Extension daran gemacht, es zu implementieren.

Es ist schon auf addons.mozilla.org hochgeladen, wurde aber noch nicht dem Review unterzogen.

Ihr könnt es aber schon auf der Projekt-Seite herunterladen:

Mozilla Firefox Extension - SecureLogin

Mit diesem Forum habe ich die Erweiterung soeben erfolgreich getestet.

Näheres könnt ihr auch über mein Forum erfahren, dort habe ich die Gründe auch näher beschrieben:

Zitat von madblueimp

I really like Firefox, especially for the extension possibility.

One thing I really missed from Opera was the "Wand Login" feature, which enables you to login with one click.

Firefox already has a built-in password manager, but lacks the One-Click-Login feature. Instead, it fills form fields for known logins, which can lead to a possible security leak:
Firefox password manager makes life easier for phishers

Therefore, I created my first Firefox extension and added something similar to Opera's Wand Login.

Feel free to check it out. I would be glad for comments on improvements or possible bugs.

Mozilla Firefox Extension - SecureLogin

Alles anzeigen

https://blueimp.net/forum/viewtopic.php?t=334