[Erw] Opera Wand (Zauberstab) für Firefox - Secure Login

Ich habe jetzt doch eine "Custom Update URL" hinzugefügt, da es wohl noch eine Weile dauert, bis SecureLogin auf addons.mozilla.org gelistet ist.

Somit kann SecureLogin ab sofort automatisch aktualisiert werden.

Dazu müsst ihr folgendes tun:

Firefox beenden.

Öffnet folgenden Ordner:
--> [EUER PROFILVERZEICHNIS]/extensions/secureLogin@blueimp.net/

Darin öffnet ihr die Datei "install.rdf" mit einem Texteditor, der UNIX-Zeilenumbrüche (\n) versteht.

Dort fügt ihr direkt hinter der "optionsURL" folgende Zeile ein:

<em>https://blueimp.net/mozilla/update.rdf?itemid=%ITEM_ID%&itemversion=%ITEM_VERSION%&appid=%APP_ID%&appversion=%APP_VERSION%&appos=%APP_OS%</em>

Wichtig: Statt "em" müsst ihr als Tags "em:updateURL" verwenden. Leider verschluckt phpBB diese Tags sonst hätte ich sie direkt mit hinein geschrieben.

Zur besseren Erklärung:
Der Eintrag muss genau so wie auf http://developer.mozilla.org/en/docs/install.rdf#updateURL unter Examples beschrieben aussehen, nur mit der von mir angegebenen URL
https://blueimp.net/mozilla/update.rdf?itemid=%ITEM_ID%&itemversion=%ITEM_VERSION%&appid=%APP_ID%&appversion=%APP_VERSION%&appos=%APP_OS%

Nach einem Firefox-Neustart sollte euch das Update zur Version 0.4.1 angezeigt werden.

Alternativ kann man auch einfach die neue Version 0.4.1 manuell installieren, da ist die updateURL schon integriert.

Antarex:
Gleich vorneweg: Der JavaScript-Schutz ist nicht nötig.
Auch ohne diese Option ist der Login mit SecureLogin sicherer als mit der Standardeinstellung von Firefox, gespeicherte Passwörter automatisch auszufüllen.
Wenn es allerdings jemand schaffen sollte, euch durch einen manipulierten Link oder eine andere Möglichkeit JavaScript-Code für diese Seite unterzujubeln, könnte er die Anmelde-Daten kurz vor dem Login abgreifen, da sie (ohne die JavaScript-Schutz-Option) vor dem Abschicken des Formulars eingetragen werden.
Falls ihr die Anmeldeseite über eure Lesezeichen besucht oder sie manuell eingebt, kann euch das aber eigentlich nicht passieren.
Mit der Option "JavaScript Schutz beim einloggen aktivieren" werden eure Anmeldedaten gar nicht erst in die Formularfelder eingetragen, sondern direkt an die Anmeldeseite geschickt, mit Hilfe interner Firefox-Funktionen und ohne das Login-Formular. Da ihr über die Tooltips der SecureLogin-Icons das Ziel der Anmeldung überprüfen könnt, seit ihr dadurch sogar vor sogenanntem client-seitigem Cross-Site-Scripting-Attacken geschützt.

Miccovin und Sommerrain:
Der Sinn der Erweiterung SecureLogin ist es, den Passwort-Manager von Firefox zu erweitern und zwar im Sinne von Sicherheit+Komfort.
Wenn du den Passwort-Manager also nicht nutzt, um deine Passwörter zu speichern, dann kannst du logischerweise auch mit dieser Erweiterung nichts anfangen.

Wenn du allerdings den integrierten Passwort-Manager nutzt, dann werden in der Standardeinstellung (signon.prefillForms = true) auf jedem Login-Formular der zugehörigen Domain automatisch Benutzer und Passwort in die Formular-Felder eingetragen.
Warum das ein Sicherheitsrisiko darstellt, habe ich in vorhergehenden Beiträgen erläutert, hier nochmal der Link zur heise-News:
Passwort-Manager von Firefox erleichtert Phishern die Arbeit
Diese Sicherheitslücke beseitigt SecureLogin, in dem der Konfigurations-Wert signon.prefillForms auf false gesetzt wird (so lange SecureLogin aktiviert ist) und somit keine Login-Daten mehr automatisch ausgefüllt werden.

Und da SecureLogin, wie der Name schon sagt, eine "Login-Erweiterung" ist, brauchst du sie nur im Moment des Einloggens, nicht wenn du schon durch gespeicherte Session-Daten im Cookie eingeloggt bist.

Der Passwort-Manager selbst ist schon eine Komfort-Bereicherung, da man sich nicht die Zugangsdaten für verschiedene Seiten merken muss, sondern nur das Master-Passwort. Ein Master-Passwort zu verwenden empfiehlt sich, damit die Login-Daten verschlüsselt gespeichert werden können.
Das Speichern der Zugangsdaten im Passwort-Manager kann zudem auch einen Sicherheitsgewinn darstellen. Denn auf diese Weise kann man komplett kryptische Kombinationen als Passwort verwenden, die man sich sonst nicht auswendig merken könnte.
Den Komfort des Passwort-Managers erweitert SecureLogin noch einmal, in dem man sich per Tastatur-Kombination (ALT+N) oder per Klick auf Toolbar oder Statusbar Icon einloggen kann.
Bei mehreren Benutzern für ein Login-Formular wird eine Dialog-Box zur Auswahl präsentiert.

Der Sicherheitsgewinn durch SecureLogin wird dadurch erreicht, das eine Benutzeraktion nötig ist um die Login-Daten einzutragen, ohne das ein Komfortverlust eintritt.

Cheffi:
Wow, gleich am Profi-Unix-Werkzeug versucht. Vim verwende ich selbst eigentlich nur ganz selten.

Eigentlich ist diese manuelle Änderung auch nicht unbedingt notwendig. Denn die einzige Änderung der Version 0.4.1 zur Version 0.4 ist, das sie eben diese updateURL mitbringt. Aber so könnt ihr immerhin die Funktionalität sicherstellen. Vielen Dank!

Nicht zwei mal der gleiche Eintrag, sondern zwei mal "em:updateURL" statt "em", einmal zum öffnen des Tags, einmal zum schließen des Tags.

Zur besseren Erklärung:
Genau so wie auf http://developer.mozilla.org/en/docs/install.rdf#updateURL unter Examples beschrieben, nur mit der von mir angegebenen URL
https://blueimp.net/mozilla/update.rdf?itemid=%ITEM_ID%&itemversion=%ITEM_VERSION%&appid=%APP_ID%&appversion=%APP_VERSION%&appos=%APP_OS%

Alternativ kann man auch einfach die neue Version 0.4.1 installieren, da ist die updateURL schon integriert.

Zur Option "Java-Script-Schutz beim Einloggen aktivieren":

Sie basiert darauf, das die Werte bestimmter Eingabefelder des Loginformulars (Checkboxes, Radio buttons, Auswahllisten), sowie die Werte der versteckten Felder (input type="hidden") ausgelesen werden und zusammen mit den Login-Daten direkt an die Login-Seite gesendet wird, die im "action" Attribut des Formulars vermerkt ist.
Im Prinzip das, was Firefox auch macht, wenn ein Formular abgeschickt wird. Allerdings ohne jemals die Login-Daten in die Formular-Felder einzutragen und ohne das eigentlich Formular abzuschicken (ohne "submit").

Um sicherzugehen, das man sich auf der richtigen Webseite einloggt, muss man allerdings auch das Ziel des Logins überprüfen, das z.B. im Tooltip der SecureLogin icons angezeigt wird.

Login-Formulare, die JavaScript-Routinen für den Login-Vorgang benötigen (onsubmit, etc.) funktionieren daher mit dieser Option nicht.
Auch kann es sein, das bei HTML-Suppe nicht alle Felder, z.B. Submit-Buttons mit type="image" eingelesen werden.
Eventuell kann es auch Kodierungsprobleme geben.

Die Option funktioniert also leider nicht mit allen Anmeldeformularen.
Erfolgreich getestet habe ich sie z.B. mit
- phpBB-Foren wie diesem,
- Confixx (Webhosting-Konfigurations-Frontend)
- Media-Wiki (Wiki-Software für Seiten wie Wikipedia)

Nicht funktioniert hat aber z.B. die Anmeldung mit aktivierter Option bei
- studiVZ
- WordPress
Ohne aktivierte Option funktioniert die Anmeldung auch bei diesen Seiten.

Die Option ist jedoch auch nicht nötig.
Der normale Login-Vorgang ist mit SecureLogin schon sicherer als die Default-Einstellung des Firefox-Passwort-Manager, Benutzer und Passwort automatisch in alle Formulare der gleichen Domain einzutragen.

Zu Lasten der Schnelligkeit geht die Option nicht.

Das Auto-Update gibt's erst seit Version 0.4.1, daher werden vorherige Versionen leider nicht automatisch aktualisiert.

Seit heute gibt es das neue Release 0.5.

Probier mal die neueste Version und gib mir Bescheid, ob die Fehlermeldung dann auch noch kommt.

In Version 0.5 gibt es ein paar neue Features:
- Warnung, falls dies Second Level Domain beim Login gewechselt wird
- Ausnahmen-Liste für Websites, bei denen der "JavaScript Schutz beim Login" nicht funktioniert