Passwort-Manager von Firefox erleichtert Phishern die Arbeit
-
dabbelju -
22. November 2006 um 13:37 -
Erledigt
-
Gut das ich weder MySpace, noch den Passwortmanager verwende.
Aber der Bug wird immerhin ernst genommen. Er ist als Blocker für Firefox 2.0.1 eingetragen, ohne einen Fix kommt 2.0.1 also nicht raus.
-
Zitat von dabbelju
Hier noch eine weiterer Hinweis von der Sicherheitsseite T-Online:
Zitat
Firefox verrät PasswörterDie Mozilla Foundation warnt vor dem Passwort-Manager in ihrem Browser Firefox 2.0. Die Funktion hat die unangenehme Eigenschaft, unter bestimmten Voraussetzungen abgespeicherte Nutzernamen und Passwörter an andere Anwender zu verraten. Die Firefox-Entwickler empfehlen, den Passwort-Manager vorerst nicht mehr zu verwenden, bis ein entsprechendes Update verfügbar ist.
Automatisierung birgt Tücken
Mit Hilfe des Passwort-Managers ist es Firefox-Nutzern möglich, sämtliche Nutzernamen und Passwörter für Webseiten oder Online-Bezahlverfahren an einer zentralen Stelle des Browsers abzulegen. Trifft Firefox auf entsprechende Formularfelder auf einer Webseite, die zu denen im Passwort-Manager verzeichneten gehören, füllt der Browser die Eingabefelder automatisch aus. Soweit, so praktisch – und doch gefährlich.
Es folgen noch weitere Hinweise von T-Online, dann wird noch anschließend auf den T-Online-Browser hingewiesen.Gruß
D. Büssen -
Besteht der Fehler auch bei älteren FF-Versionen?
Lionsson -
Wenn ich nicht merke, dass ich auf einer Phishing-Site gelandet bin und ich will mich einloggen, ist es doch vollkommen egal, ob der Passwort-Manager die Eingaben automatisch einträgt, oder ob ich es manuell mache.
-
Wobei es natürlich ideal wäre, wenn der Fox den Phishing-Versuch erkennt,
nichts einträgt und mich bestenfalls auch noch warnt. -
Zitat von Timo57
Wenn ich nicht merke, dass ich auf einer Phishing-Site gelandet bin und ich will mich einloggen, ist es doch vollkommen egal, ob der Passwort-Manager die Eingaben automatisch einträgt, oder ob ich es manuell mache.
Nö.
Es geht ja nicht um Eingabefelder, die du siehst. Es geht um verborgene, die aber bspw. dieselbe Eingabe fordern wie das eigentliche Feld. Das könnte auch so weit führen, dass du auf eine Seite gelangst, wo du dich normalerweise anmeldest und damit auch das Passwort gespeichert hast, aber kein Eingabefeld zu sehen ist (wenn du z.B. schon angemeldet bist). Dein Passwort und Benutzername werden in ein verstecktes Feld automatisch eingetragen. Wenn du dann nem Link "Klick mich!" folgst, kann es sein, dass der Phisher sich über neue Nutzerdaten freut
Wobei ich nicht sicher weiß, ob man überhaupt den "Klick mich!"-Link braucht.
-
Zitat von Büssen
Hier noch eine weiterer Hinweis von der Sicherheitsseite T-Online:Wer sensible Passwörter auf seinem Rechner speichert, ist selbst dran Schuld, wenn sie 'geklaut' werden.
Ich will die Meldung nicht herunterspielen, sondern darauf hinweisen, dass sensible Passwörter, Pins und Tans usw. nie auf dem Rechner gespeichert werden sollen, egal welchen Browser man benutzt.
-
Zitat von Road-Runner
Wer sensible Passwörter auf seinem Rechner speichert, ist selbst dran Schuld, wenn sie 'geklaut' werden.Ich will die Meldung nicht herunterspielen, sondern darauf hinweisen, dass sensible Passwörter, Pins und Tans usw. nie auf dem Rechner gespeichert werden sollen, egal welchen Browser man benutzt.
Wieso, soll ich lieber auf die Keylogger warten, um mir die Passwörter stehlen zu lassen?Abseits aller Polemik meine ich aber doch, dass Passwörter zu speichern und mithilfe eines Masterpassworts zu sichern, nicht ein dermaßen großes Sicherheitsloch ist. Wieso sollte es denn? (Jetzt mal abgesehen von dem aktuellen Problem, das ist ein error by design des Passwortmanagers von Firefox)
-
Zitat von lionsson
Besteht der Fehler auch bei älteren FF-Versionen?
Ja.
Und auch nicht nur in Firefox sondern auch SeaMonkey, Flock, Songbird(, Thunderbird) und all den anderen...
-
OK, ein Keylogger kann auch Passwörter ausspionieren, das steht ausser Frage.
Wenn man sein BS immer aktuell hält, den Rechner regelmässig auf Malware überprüft (Aktualisieriung der AV- und sonstigen Programme nicht vergessen) und nicht auf alles klickt, was bei Drei nicht auf den Bäumen ist, dürfte dieses Risiko eher minim sein.
Trotzdem speichere ich keine sensiblen Passwörter (Bank usw.) auf dem Rechner, auch nicht, wenn ich sie mit einem Masterpasswort schützen kann.
Ich denke nicht, dass Phisher übermässig an meinen Passwörtern zu den verschiedenen Foren interessiert sind, und etwas anderes werden sie nicht finden.
Und damit niemand sich falsche Hoffnungen macht: meine Bankzugangsdaten sind auch nicht auf einem Zettel am Monitor oder unter dem Telefon festgehalten :wink:
-
Hi Folks,
ich weise in diesem Zusammenhang immer wieder genre auf den besten Schutz hin, den es gibt, nämlich "brain.exe".
Einen Passwortmanager gleich welchen Programms benutze ich aus Gründen der Bequemlichkeit lediglich für die kaum sicherheitsrelevanten Dinge im Netzt - Loggins in Foren, etc. bla bla - . Wenn nun jemand mit diesen Daten sein Unwsen treiben wil - so what, you cares? Die aber wirklich relevanten Daten - Onlinebanking, etc., ... - würde ich ums Verrecken niemals irgendeinem "Manager" anvertrauen.
Was also bleibt? Setze deinen Verstand ein! Verlass dich nicht auf Maschinen, sondern lieber auf dich selbst. Das aber setzt Verantwortungsbewusstsein voraus!
Have fun,
NightHawk -
Zitat von NightHawk56
Was also bleibt? Setze deinen Verstand ein! Verlass dich nicht auf Maschinen, sondern lieber auf dich selbst. Das aber setzt Verantwortungsbewusstsein voraus!
Genau, aber wir wissen doch alle, dass niemand perfekt ist und wohl einige Leute drauf reinfallen können; also gut, wenn das mit dem nächsten Update behoben ist.
(Wobei ich den raschen Bugfix eher aus Marketinggründen wünsche als aus meinem persönlichen Sicherheitsbedürfnis.)
-
Zitat von Lendo
(Wobei ich den raschen Bugfix eher aus Marketinggründen wünsche als aus meinem persönlichen Sicherheitsbedürfnis.)
Zunächst einmal: "Ja, einverstanden." Allerdings ist ein Marketingkonzept eher geeignet, ein Produkt "gut zu verkaufen", als den wirklichen Bedürfnissen der Konsumenten gerecht zu werden. Deswegen ist es (ein solcher Bugfix) in _meinem_ Verständnis von Sicherheit eher kontraproduktiv, obschon ich mit diesen Schritt dennoch wünsche, damit ein eher Standard orientierter Browser noch mehr Chancen auf wachsende Verbreitung hat, damit dieser IE-only-Murks aus dem Code unzähliger Websites endlich verbannt wird :wink:
Have fun,
NightHawk -
Hallo,
gibt es eine Möglichkeit, die Passwörter zu kopieren um sie dann als Text ausdrucken zu lassen, oder einen anderen Trick, bevor ich sie lösche.
MfG
-
Ja. Mit der Erweiterung Password Save oder der Erweiterung Password Exporter.
Wenn es nur um eine Liste geht ist Password Save erste Wahl. Password Save ist allerdings nicht Fuchs 2.0-kompatibel.
Password Exporter erstellt eine Datei im xml-Format, die Du dann im Fuchs öffnen und ausdrucken kannst.
-
Danke.
-
@ Feuerfuchs ... weiss nicht, aber du kannst sie dir ja alle anzeigen lassen und einen Screenshot machen ... schon hast du sie ... :wink:
-
Zitat von @Feuerfuchs
Hallo,
gibt es eine Möglichkeit, die Passwörter zu kopieren um sie dann als Text ausdrucken zu lassen, oder einen anderen Trick, bevor ich sie lösche.
MfG
Mache ein Screen-Shot (erforderlichenfalls mit Paint o. ä. montieren) und lege das ab. Diese Liste ist nicht leicht auslesbar.
Dieter
-
(Quelle: T-Online)
"...Die Schadenfreude der Internet Explorer-Gemeinde währte nicht lange, denn nicht nur Firefox 2, sondern auch der Internet Explorer 7 geht wenig sorgsam mit Passwörter um...", vgl. http://oncomputer.t-online.de/c/97/13/19/9713192,si=0.html
ohne Kommentar
