Zugriff auf Passwörter mit Fingerabdruck

  • Soll das heissen, dass der Fingerabdruck über Telemetriedaten an Mozilla wandert?

    Selbstverständlich nicht. Sonst hätte ich wohl auch kaum geschrieben, dass daran nichts Schlimmes ist. Ich verstehe ehrlich gesagt auch den Gedankengang nicht, wieso Mozilla etwas so Persönliches von allen Nutzern sammeln sollte, woran sonst höchstens die Polizei kommt, und was so mal sicher mit keinem Datenschutz-Gesetz der Welt zusammen geht. :/ Wie ich bereits schrieb: Es geht bei Telemetrie um technische Daten. Was Mozilla über Telemetrie erfahren hat, ist die Tatsache, dass es eine unerwartet hohe Fehlerrate gab. Das ist ein wichtiger Datenpunkt, der Mozilla sagte, dass es hier ein ernsthaftes Problem gab. Alleine daraus, dass einige Nutzer über ein Problem berichten, kann man ja nicht schließen, wie groß das Problem tatsächlich ist.

    Und heisst das auch, dass man die Funktion in der Final aktivieren kann?

    Ja. Die allermeisten Schalter, die in Nightly-Versionen funktionieren, funktionieren auch in finalen Versionen, vorausgesetzt, die Option ist dort schon vorhanden. Aber da die Option ja schon ein paar Jahre existiert, trifft das zu.

  • Jetzt verstehe ich nichts mehr. Auf meinem Desktop-Rechner (Windows 10) funktioniert es plötzlich. Auf dem Notebook (Windows 11) funktioniert es nicht. Auf beiden Rechnern FF 108.01. Der Schalter "signon.management.page.os-auth.enabled" ist auf beiden Rechnern auf "true" gesetzt. Da muss ich mal weiter recherchieren. Auf dem Notebook in Nightly funktioniert es aber.

  • Das ist die Quelle dieses Satzes:

    Hallo Sören :)

    danke, also nicht die in #15 genannte.

    Da muss man 4 mal lesen, wenn man es verstehen will.

    Diese Quelle kann man lesen, bis man schwarz wird. Dort wird man den von Dir genannten Satz nie finden. Du solltest dann schon die korrekte Quelle angeben.

    Wozu braucht Mozilla Telemetriedaten?

    Diese Frage kann doch nicht ernst gemeint sein?

    Die Entwickler von Software beziehungsweise die Firmen dahinter erhoffen sich mithilfe einer Auswertung der gesammelten Daten eine Verbesserung ihrer Entwicklungen und Produkte.

    Gruß Ingo

  • Zitat

    Mozilla erhält Ihre E-Mail-Adresse und einen Hash Ihres Passworts

    Das hat mich zuerst irritiert. Nach dem dritten Lesen passt es aber (Das ist ja mit jedem Konto so). Vielleicht wäre es besser wenn dort stehen würde "Mozilla speichert Emailadresse und Passwort verschlüsselt in einer Datenbank".

  • "Hash" ist technisch ausgedrückt, ja, könnte man auch anders/verständlicher schreiben. Ich wüsste aber derzeit keinen Service, der Passwörter im Klartext speichert. Deswegen ist ja HTTPS so wichtig, weil damit ja der Versand eines Passwortes via Webseite schon pauschal verschlüsselt wird. Ginge aber auch schon in der Webseite selbst, das Passwort zu verschlüsseln, einer meiner Router hat das so gemacht, wobei das lokal war und über keine Leitung verschickt wurde.

    Warum "Mozilla" eigentlich? Mozilla sowieso, weil "Firefox Monitor" die Email-Adresse abgleicht, evtl auch den Hash, weil Passwörter der gehackten Server als (irgendein) Hash vorliegen. Man müsste schon brute-force oder per Rainbowtable versuchen, diese PW zu knacken, auf gut Glück. Deswegen ist es ja so eminent wichtig, Passwörter nicht zu kurz und möglichst komplex zu wählen. Damit wird es im Falle, falls ein genutzter Server gehackt wird, sehr schwer, das richtige Passwort zu finden, und man wird uninteressant.

    Wie gesagt, in die Daten, die per Telemetrie an Mozilla gesendet werden zwecks Produktverbesserung sind keine Verschwörungsgedanken wert - und das trifft auf jede Ausgabe von Firefox zu.

    Wir sind keine Beschwerdestelle, hier gibt es nur Lösungen!

  • Dann könnte es an Windows 11 liegen. Das kann dir aber nur jemand beantworten, der eine ähnliche Konstellation an Hardware nutzt, Fingerprintreader gibt es hier nicht, auch nicht auf der Maus.

    Wir sind keine Beschwerdestelle, hier gibt es nur Lösungen!

  • Gibt es für die Schalter eine Dokumentation?

    Du könntest dir die Definitionen der Schalter im Quellcode ansehen, welche über mehrere Dateien verteilt ist. Manches davon ist mit einer kurzen Anmerkung dokumentiert. Aber alles, was jemand extern pflegen würde, wäre sehr schnell nicht mehr aktuell. Mir ist daher auch keine vollständige Dokumentation bekannt.

    Was ich mich bei Telemetrie frage ist: Wozu braucht Mozilla Telemetriedaten? Den Standort z.B. braucht Mozilla sicher nicht. ;)

    Was soll denn der Standort mit Telemetrie zu tun haben? Falls du das auf den Abschnitt zum Standort in der Datenschutzerklärung beziehst: Die Datenschutzerklärung erklärt dir nicht Telemetrie, sondern was grundsätzlich in Firefox an Daten gesendet werden kann. Das bezieht sich auf alle Funktionen, die es in Firefox gibt. Beim Standort geht es unter anderem um die Geolocation-API von Websites. Wenn du zum Beispiel online eine Pizza bestellst und der Lieferdienst eine Standort-Erkennung anbietet, so dass du deine Adresse nicht eingeben musst, kommt dafür ein Standort-Dienst zum Einsatz. Und Mozilla nutzt hier den von Google, also müssen deine Koordinaten an Google gesendet werden. Das passiert aber immer nur nach ausdrücklicher Erlaubnis und niemals ohne deine explizite Einwilligung.

    Ein anderer Anwendungsfall ist, dass Mozilla deinen Standort wissen muss, um dementsprechend deine Standard-Suchmaschine sowie die Verfügbarkeit bestimmter Funktionen anpassen zu können. Google ist nicht in jedem Land die Standard-Suchmaschine. Und nicht jedes Firefox-Feature steht für Nutzer in Deutschland zur Verfügung.

    Wofür Telemetrie-Daten benötigt werden, habe ich ja bereits an einem Beispiel hier erklärt. Mozilla erfährt hierüber, ob Dinge funktionieren. Sie erfahren darüber auch, welche Funktionen genutzt werden und welche nicht. Und sie erhalten grundlegende Informationen über dein System, die bei der Entscheidung helfen, wofür sie ihre Produkte optimieren.

    Auf dem ersten Blick ist es verwirrend geschrieben. Da muss man 4 mal lesen, wenn man es verstehen will.

    Das kann ich so ehrlich gesagt nicht nachvollziehen. Aber wenn du etwas nicht verstehst, kannst du hier natürlich nachfragen.

    Zitat

    Mozilla erhält Ihre E-Mail-Adresse und einen Hash Ihres Passworts

    Das hat mich zuerst irritiert. Nach dem dritten Lesen passt es aber (Das ist ja mit jedem Konto so). Vielleicht wäre es besser wenn dort stehen würde "Mozilla speichert Emailadresse und Passwort verschlüsselt in einer Datenbank".

    Nein, weil das technisch nicht korrekt wäre. Mozilla speichert einen Hash des Passworts und nicht das verschlüsselte Passwort. Das mag auf den ersten Blick vielleicht wie Haarspalterei klingen, hat in Wahrheit aber eine völlig andere Bedeutung. Etwas, was verschlüsselt ist, kann auch wieder entschlüsselt werden. Mozilla oder auch jede Straverfolgungsbehörde, genauso wie jeder Angreifer, der unrechtmäßig an die Datenbank kommt, hätte damit Zugriff auf sämtliche Passwörter der Nutzer. Ein Hash kann im Gegensatz dazu nicht in den Originalzustand zurück berechnet werden. Verschlüsselung und Hashing haben jeweils völlig unterschiede Einsatzzwecke. Am Server möchtest du dein Passwort nicht verschlüsselt, sondern gehasht haben, weil der Server-Betreiber niemals dein Passwort kennen muss. Die Website respektive der Dienst am Server muss nur prüfen können, ob du als Benutzer dein eigenes Passwort kennst. Dafür ist ein Hash das Mittel der Wahl.

    Die Frage, weshalb der Fingerabdruck in der Nightly funktioniert, im öffentlichen FF aber nicht, ist noch offen.

    Ich nehme an, du meinst mit „öffentlich“ die stabile oder auch finale Version.

    Weil anderer Entwicklungsstand?

    Diese Funktion existiert bereits seit ein paar Jahren in seit dem unveränderter Form.

  • Mal schauen ob ich noch etwas dazu finde.

    Ist bei mir eh nur reines technisches Interesse. Eine echte Schutzfunktion ist das alles natürlich nicht. Das ist ein Pseudo-Schutz wie in Excel. Also "Selbstsschutz". Jeder der sich auskennt, entfernt den Eintrag in der "prefs.js" und kommt wieder ohne Schutz an die Kennwörter. Jeder der sich auskennt kann es umgehen, solange die Einstellung unverschlüsselt in lesbaren Dateien stehen. ;)

  • Jeder der sich auskennt, entfernt den Eintrag in der "prefs.js"

    Bei der Datei prefs.js handelt es sich um eine generierte Datei, die man niemals selbst bearbeitet. Es geht aber eh auch viel einfacher: via about:config. ;)

    Eine echte Schutzfunktion ist das alles natürlich nicht. Das ist ein Pseudo-Schutz wie in Excel.

    Sagen wir es so: Es ist kein unumgehbarer Schutz. Es schützt aber zumindest vor schnellen Zugriffen via about:logins. Wen man länger unbeaufsichtigt an sein Geräte-Konto lässt, der hat sowieso mit und ohne diesen Schutz Zugriff auf das Profil und damit auch auf die Passwörter.

    Sollte die Funktion irgendwann fertiggestellt werden, würde die entsprechende Option in about:config vermutlich auch noch verschwinden, sobald sich Mozilla sicher ist, dass es keinen Grund mehr gibt, wieso man das Feature erneut abschalten müsste. Nur ist das zu diesem Zeitpunkt wie gesagt nicht absehbar, dass das in nächster Zeit passieren wird.

  • via about:config

    Den Zugriff kann man aber per Registry-Eintrag (GPO) blockieren (die ADMX habe ich mir schon angeschaut). Auf Firmenrechner ein guter Schutz, da der Anwender keinen Zugriff auf die Registry hat. Man könnte jetzt das Profil in einem VeraCrypt-Container ablegen (ideal auf USB-Stick) und die "profiles.ini" und "installs.ini" entsprechend anpassen. Das ist dann aber wieder ein Schritt komplizierter für viele Anwender, wegen des weiteren Kennworts (Fingerabdruck geht da nicht) und des Einhängens des VeraCrypt-Laufwerkes. Das wäre aber auf Bürorechnern wiederum sicherer (Beim Verlassen des Arbeitsplatzes FF beenden, Laufwerk aushängen und Stick mitnehmen. Wird aber nichts für Faule sein). Funktionieren tut es, gerade getestet. Vielleicht schreibe ich mal an Mozilla. Mein Vorschlag: Standardmäßig ein verschlüsseltes Profil anbieten.

    Bei der Datei prefs.js handelt es sich um eine generierte Datei, die man niemals selbst bearbeitet.

    Das ist m.E. eine normale JS-Datei.

  • Man könnte jetzt das Profil in einem VeraCrypt-Container ablegen

    Da ist es doch einfacher, die Passwörter in KeePass zu halten und im Firefox das Kee-AddIn zu installieren.

    Dann gibt es keine Passwörter im Firefox und man muss keinen Handstand machen, um sie dort nochmal extra doppelt zu sichern.

    Ist bei mir eh nur reines technisches Interesse.

    ;)