Vermeintlich gelöschte Passwortdatenbank

    Hallo Community,

    eine schnelle Suche ergab nicht so die korrekten Topics. Deshalb schildere ich mal mein Problem.

    Ich bin gerade dabei aus meinen diversen Rechnern die Logindaten der verschiedenen Dienste nach KeePass zu transferieren. Soweit alles gut.
    Anschließend habe ich auf der ersten Maschine im Firefox über die Einstellungen das Masterpasswort gelöscht und anschließend die Loginliste via "Alles löschen" leer gemacht.
    Im Glauben eine leere Passwortliste zu haben hatte ich via KeePass-Plugin nochmal auf das gleiche Benutzerprofil einen Import gestartet und siehe: Die vermeintlich gelöschten Passwörter rauschten nach KeePass rein :shock:
    Da das Masterpasswort gelöscht war ohne jegliche Beschränkung.

    Ist das Normal? Musste ich damit rechnen?

    FF64.0 64bit auf W10home

    Hallo weissnix,

    nur mal eine Vermutung: die key4.db stamm noch von einer älteren Fx-Version und nur die login.json wird vom aktuellen Fx64 genutzt. Auf die Idee komme ich nach einem Blick in meinen Profilordner:
    key3.db, zuletzt geändert im Feb. 2018
    key4.db, zuletzt geändert im April 2018
    logon.json, zuletzt geändert Nov. 2018 - und das dürfte mit meiner letzten Änderung gut zusammenpassen (vollst. Leerung der Fx-internen Passwortliste und stattdessen Nutzung der KeePass-Datenbank mittels AddOn 'Kee')

    Für mich bedeutet das nebenbei, demnächst mal einen Text zu machen, wo die beiden ersten der drei erwähnten Dateien umbenenne und schaue, ob Fx dann irgendwas vermisst ....

    Ob dein nicht näher benanntes Keepass-Plugin Einstellmöglichkeiten bietet, welche der Fx-PW-Datenbanken es überhaupt nutzen soll oder welche nicht, kannst du vermutlich schneller herausfinden als ich.

    MfG
    Drachen

    Hallo Drachen,

    zuerst werde ich mal das allgemeine Forengerödel befriedigen auch wenn es garnix zur Sache hilft:
    FF64.0 64 bit
    W10home 1809
    KeePass2.40 portable
    KeePassBrowserimporter 1.0.6 <-- das nicht näher bezeichnete Plugin
    Im Plugin genbe ich nur den FF-Profilordener an

    Ich habe (noch) kein Problem mit KeePass oder irgendeinem Plugin.
    Mein Problem besteht darin, dass über Firefox seine Einstellungen mir vorgegaukelt wird, das im FF keine Passwörter mehr sind.
    In der Realität sind die Passwörter aber noch da und -weil ich zeitgleich das MasterPW entfernt habe- komplett ungeschützt auslesbar.

    Soweit ich das sehe wird tatsächlich nur die login.json beim Löschen bearbeitet. Datenbanktypisch werden wohl die Indizes nur als gelöscht markiert. Aus der Key4.db kann sich ein Tool aber anscheinend die PW holen.

    Probier es doch mal aus bei Dir, wieviele PW ein Importer aus FF holt.

    Hallo weissnix,

    da ich keinen Importer wissentlich verfügbar habe, der PW aus dem Firefox auslesen könnte, habe ich etwas Anderes probiert.

    Fx beendet, key3.db und key4.db umbenannt, dann Firefox wieder gestartet. Beide Dateien wurden neu angelegt mit denselben Dateigrößen. Ob da also noch Passwörter drin stecken, weiß ich also noch immer nicht.

    [attachment=0]Anmerkung 2018-12-22 180146.jpg[/attachment]

    MfG
    Drachen

    Zitat

    Ob da also noch Passwörter drin stecken, weiß ich also noch immer nicht.


    Nach meinem Verständnis: nein
    Denn auf der Firefox-Hilfe-Seite heißt es:

    Zitat


    Ihre Passwörter werden in zwei verschiedenen Dateien gespeichert, die beide erforderlich sind:

    • key4.db – enthält die Schlüsseldatenbank Ihrer Passwörter. Um die gespeicherten Passwörter ins neue Profil zu übertragen, müssen Sie diese und die folgende Datei kopieren.
    • logins.json – enthält gespeicherte Passwörter.


    Daß die Passwörter in der logins.json verschlüsselt gespeichert werden, kann man leicht nachprüfen, da eine JSON-Datei ja nur eine (besonders formatierte) Textdatei ist. Und daß die key4.db, die zum Entschlüsseln nötig ist, nochmal die Passwörter enthält, wäre völlig unsinnig.

    Warum die Passwörter nach dem (vermeintlichen?) Löschen noch importierbar sind, lässt sich so also nicht erklären.
    Frage dazu weissnix_:
    Hast Du, nach den Löschen und vor dem Import in Keepass, Firefox neu gestartet? Denn bestimmte Einstellungen werden erst nach einem Neustart wirksam.