Passwort-Manager von Firefox erleichtert Phishern die Arbeit

  • Zitat von crazy5170


    8) ohne Kommentar 8)


    Stimmt, ist auch besser so, was steht denn da für ein Mist drin?

    "Der Angriff kann ebenfalls beim Internet Explorer mit Erfolg durchgeführt werden. Allerdings muss hierbei der Anwender die Daten persönlich eingeben, denn das automatische Ausfüllen wird vom IE nicht unterstützt."
    :?::?::?: Doch, wird es. Und manuell ausfüllen? In nicht sichtbare Formulare? Vollsuff? Und das mit dem automatischen Ausfüllen klappt eben *nicht* beim IE, weil der sich die Adresse merkt, an die das Formular verschickt wird.

    Quis custodit custodes?

  • Sandor fragte:

    Zitat

    Muß ich die PWs etwa löschen?


    Müsstest Du nicht - Deaktivieren der Funktion würde schon reichen.

    Stichwort: Formulardaten.

    Extras - Einstellungen - Datenschutz.

    Um alle Passwörter zu löschen, klickst Du neben: Gespeicherte Passwörter auf Löschen. Alternativ dazu könntest Du über Gespeicherte Passwörter anzeigen, die vorhandenen Kennwörter ansehen oder einzelnd markieren und löschen - Das wäre der sicherste Weg.

    Darüberhinaus speicherst Du am besten überhaupt keine PW´s innerhalb Deines Browsers - allenfalls über eine (symmetrisch oder asymmetrisch verschlüsselte) separate Textdatei in einem anderen Verzeichnis - bzw. auf einen externen Stick.

    Tue Dir den Gefallen und lasse die Finger vom PW-Manager (FF und andere Browser). - Bequemlichkeit kontra Sicherheit wird sich langfristig leider immer bloss zu Ungunsten der Sicherheit auswirken - und das nicht nur innerhalb der IT.

    P.S Der PW-Manager des FF´s reagiert meines Wissens nach unter JavaScript selbständig (und voreilig) auf Submit-Aufrufe und ist damit leider immer noch etwas zu "oberflächig" bezüglich der genaueren Verifikationen der vertrauensvollen HTML-Dokumente, in die er die pers. Daten einzutragen hat.


    Oliver

  • Zitat von NightHawk56

    Die aber wirklich relevanten Daten - Onlinebanking, etc., ... - würde ich ums Verrecken niemals irgendeinem "Manager" anvertrauen.


    Selbst Banken gehen bei der Programmierung Ihrer Webseiten sorglos mit Formulardaten um:

    Wenn ich unter Extras>Einstellungen>Datenschutz die Funktion Daten speichern, die in Formulare oder Suchleisten eingetragen werden aktiviert habe, besteht also die Gefahr, das mein Anmeldename für mein Onlinebanking in der Formulareingabe beim Eintippen des ersten Buchstaben angezeigt wird. Manche Bankwebseiten lassen dies zu, manche nicht:

    Die Seite der Commerzbank Deutschland akzeptiert pauschal die Einstellung meines Browsers und zeigt meinen Anmeldenamen an, wenn ich einloggen will:
    https://portal02.commerzbanking.de/P-Portal/XML/I…/pgf.html?Tab=3

    Die Seite der Postbank Niederlande schert sich einen Dreck um diese Einstellung und lässt die Speicherung entgegen der Browsereinstellung erstmal nicht zu und fragt extra nach, ob ich das wirklich will (Haken setzten)
    https://mijn.postbank.nl/internetbankieren/SesamLoginServlet

    Die ABN und die Rabobank Niederlande arbeiten gar nicht mit Anmeldenamen und Passwort, sondern mit Kartenleser: Um Onlinebanking zu machen, muss man sich mit seiner Geldkarte + Geheimzahl bei der Webseite identifizieren, dann erhält man auf dem Kartenleser einen achstelligen Code, den man eintippnen muss, erst dann erhält man Zugang zu seinem Konto . Für Transaktionen ist ein zweiter, achtstelliger Tan notwendig, den man erneut eintippen muss.
    Der PC wird also für einen Augenblick zu einem Terminal wie bei einem Geldautomaten umfunktioniert: ohne Kartenleser + Geldkarte + Geheimzahl nichts zu machen :D
    https://bankieren.rabobank.nl/mijnbankzaken

    Gruß ;)

    "Krieg ist ein zu ernstes Geschäft, als daß man ihn den Generälen überlassen dürfte." Georges B. Clemenceau (1841-1929), Französischer Journalist und Politiker/Ministerpäsident

  • Schade und enttäuschend, dass sich kein hoher Mozilla-Entwickler im Bugzilla-Eintrag dazu äußerst. Es scheint, als würden die freiwilligen Entwickler und die Bug-Finder diskutieren, ohne dass man zu einer Entscheidung kommen würde (wird ja noch gestritten ob das ein myspace-spezifisches Problem ist oder auf welche Art man die Schwachstelle lösen sollte oder ob man überhaupt was tun könne, ohne mit den bisher gespeicherten Daten im Passwort-Manager zu brechen ... ).

    Auch würden ein paar offizielle Worte auf den Mozilla-Seiten oder den Blogs der Entwickler oder von Asa, dem Oberdotzler, dem Schrecken weiter Teile der Firefox-Gemeinde - und dem Kreischen der Online-Medien - etwas Wind aus den Segeln nehmen. Wieder mal ein Mismanagement beim Marketing. Aber wär ja nicht das einzige Mal bei Mozilla - und dieser Tage nicht der einzige Fall, siehe den extrem rufschädigenden Fehler bei Thunderbird, der zwar bereits nach 2 Tagen(!) nach Bekanntwerden mit einem ersten Bugfix beliefert wurde, jedoch scheint es nur im Trunk (3.0 ff) und Branch (2.0) einfach zu sein, für 1.5.x ist es etwas haariger. Auch hapert es am QA-Management. Ich schätze, man hat einfach nicht die Resourcen, um ein 1.5.0.8a herauszugeben und im Dezember dann das richtige 1.5.0.9-Update.

  • Zitat von NightHawk56

    Hi Folks,

    ich weise in diesem Zusammenhang immer wieder genre auf den besten Schutz hin, den es gibt, nämlich "brain.exe".

    Einen Passwortmanager gleich welchen Programms benutze ich aus Gründen der Bequemlichkeit lediglich für die kaum sicherheitsrelevanten Dinge im Netzt - Loggins in Foren, etc. bla bla - . Wenn nun jemand mit diesen Daten sein Unwsen treiben wil - so what, you cares? Die aber wirklich relevanten Daten - Onlinebanking, etc., ... - würde ich ums Verrecken niemals irgendeinem "Manager" anvertrauen.

    Was also bleibt? Setze deinen Verstand ein! Verlass dich nicht auf Maschinen, sondern lieber auf dich selbst. Das aber setzt Verantwortungsbewusstsein voraus!

    Have fun,
    NightHawk

    Ich verfahre genauso wie Du! :)
    Brain.exe ist tatsächlich eine gute Software. :wink:

    Viele Grüsse von hall77
    Betriebssystem: Linux Mint 64-bit, Desktop Mate

  • Zitat von Simon1983

    Gut das ich weder MySpace, noch den Passwortmanager verwende.

    Aber der Bug wird immerhin ernst genommen. Er ist als Blocker für Firefox 2.0.1 eingetragen, ohne einen Fix kommt 2.0.1 also nicht raus.

    https://bugzilla.mozilla.org/show_bug.cgi?id=360493


    So wie ich Mozilla kenne, ist mit einem Sicherheitspatch in den kommenden Tagen zu rechnen. :wink:
    Andererseits frage ich mich aber, was es dann mit dem Pishing-Schutz auf sich hat? Sollte der nicht präparierte Webseiten erkennen können..., oder verwechsle ich da jetzt etwas? :roll:

    Viele Grüsse von hall77
    Betriebssystem: Linux Mint 64-bit, Desktop Mate

  • Zitat von hall77

    Andererseits frage ich mich aber, was es dann mit dem Pishing-Schutz auf sich hat? Sollte der nicht präparierte Webseiten erkennen können..., oder verwechsle ich da jetzt etwas? :roll:

    wenn die seite geblacklisted wurde, ja. sonst nicht, es wird nur die URL in der liste verglichen.

  • Zitat von hall77

    So wie ich Mozilla kenne, ist mit einem Sicherheitspatch in den kommenden Tagen zu rechnen. :wink:
    Andererseits frage ich mich aber, was es dann mit dem Pishing-Schutz auf sich hat? Sollte der nicht präparierte Webseiten erkennen können..., oder verwechsle ich da jetzt etwas? :roll:


    Das hat nichts mit dem Phishing-Schutz zu tun, der in Browser eingebaut ist. Der Phishing-Schutz soll nur vor Seiten warnen, die vortäuschen, die echte Seite zu sein. Dieses Problem mit dem Passwort-Manager passiert aber auf vertrauenswürdigen Seiten bzw. Unterdomains von Websites. Da kann der beste Phishing-Detektor nichts ausrichten.

  • Salvete,
    eine Möglichkeit für vergessliche und faule Surfer wie mich:
    wer auf den Komfort des PW-Managers nicht verzichten will, nutzt ihn einfach weiter in einem Profil, mit dem nur bekannte Seiten besucht werden.
    Bankzugänge speicher ich niemals, aber zum Musterdepot, Foren, Seiten für den Abruf von Rechnungen u.ä., da ist der PW-Manager schon angenehm.
    Und wenn's dann in die fremde Welt des Internets geht:
    ein eigenes Profil ohne PW-Verwendung und bei Beenden des FF werden alle privaten Daten automatisch gelöscht.
    gruß
    schnallgonz

    Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.0.8) Gecko/20061025 Firefox/1.5.0.8

  • Zitat von bender_21

    wenn die seite geblacklisted wurde, ja. sonst nicht, es wird nur die URL in der liste verglichen.

    Alles klar, danke! :)

    Viele Grüsse von hall77
    Betriebssystem: Linux Mint 64-bit, Desktop Mate

  • Zitat von Lendo


    Das hat nichts mit dem Phishing-Schutz zu tun, der in Browser eingebaut ist. Der Phishing-Schutz soll nur vor Seiten warnen, die vortäuschen, die echte Seite zu sein. Dieses Problem mit dem Passwort-Manager passiert aber auf vertrauenswürdigen Seiten bzw. Unterdomains von Websites. Da kann der beste Phishing-Detektor nichts ausrichten.

    Auch Dir vielen Dank für die Infos! :)

    Viele Grüsse von hall77
    Betriebssystem: Linux Mint 64-bit, Desktop Mate

  • Das ist eine ausgesprochen gute Idee, danke! :)

    Viele Grüsse von hall77
    Betriebssystem: Linux Mint 64-bit, Desktop Mate

  • klar jetzt wars wieder microsoft

    naja mir es relativ wayne ich hab keine accounts wo sowas möglich wäre und mir ist das mehr an komfort diese lücke durchaus wert.
    aber auf der anderen seite ist das natürlich schon etwas kritisch weil jeder der irgendwo nen oberverzeichnis besitzt (bei manchen freewebspace anbiertern) kann halt pws auspionieren

    FF2.0
    win2000sp4
    Erweiterungen: "autohide" "addblockerplus"... insgesamt ca.25 stück

  • Zitat von Mirra

    klar jetzt wars wieder microsoft


    Wo steht das?

    Eventuell wird ja dort jetzt die 'Mickysoft'-Politik vertreten.
    Wie das dann aussieht? So:
    Nach Meinung von Mozillas neuer Sicherheitschefin Window(sic!) Snyder lässt sich der Fehler in Version 2.0 auf keinen Fall zum Einschleusen von Code ausnutzen. Ihrer Meinung nach handele es ohnehin nicht um den alten Fehler, der sei in der neuen Firefox-Version geschlossen. Warum dann der Exploit den gleichen Fehler ausnutzen kann, bleibt offen. Zudem führe der Fehler nur zum Crash, Anwender von Firefox seien nicht wirklich gefährdet, erklärte Snyder, vormals Senior Security Strategist bei Microsoft, gegenüber US-Medien. Allerdings wolle man der Sache noch einmal nachgehen.
    Link

  • a) Anscheinend wird der Bug Cross-Site Forms + Password Manager = Security Failure nicht in 2.0.0.1 eine Lösung durch Firefox selbst erhalten. Das liest sich zumindest so in diesem Thema über 2.0.0.1 im MozillaZine-Forum. Auch gibt es noch keine Statusveränderung im Bugzilla-Eintrag (immer noch "new", aber auch immer noch blocking 1.8.1.1 markiert), kein Mozilla-Entwickler sagt was zu dem Thema und das QA für 2.0.0.1 läuft schon an. Und im Bugzilla-Eintrag ist man sich noch nicht klar, wie man dies lösen soll (strengere Handhabung von Passwörterspeicherung mit Komfortverlust oder das Problem muss von den Webmastern gelöst werden). Ist also relativ unwahrscheinlich, dass sich da noch etwas tut bis 2.0.0.1, wenn das Update noch vor Weihnachten kommen soll.


    b) Wer 2 Fragen hat wie:
    Ist die Benutzung des Passwort-Managers in Firefox sicher?
    Ist Minefield (die Trunk-Version von Firefox, aus der 3.0 werden soll) sicher?

    Dem empfehle ich den kurzen Kommentar von chob (englisch) durchzulesen.


    c) Auf MySpace wurde das Problem angeblich behoben. (Quelle) Kann ich aber nicht testen, da ich dort noch nie war und auch nicht vorhabe, dort jemals etwas zu tun. Wenn dies so ist und nur sehr wenige Websites dieses Problem in Firefox zulassen durch nachlässige Handhabung von HTML und type="password" (auf Websites wie ebay und Amazon kann so ein Problem nicht auftreten, da dort kein Benutzer HTML-Seiten verfassen kann und somit auch keine Passwörter von Eingabefeldern anderer Subdomains übernehmen könnte), wird der Bugzilla-Eintrag wohl zu den Akten gelegt, weil es vernachlässigbar ist (ein sogenanntes "non-issue"). Aber entschieden ist natürlich noch nichts. Man wird sehen.