Sicherere Logins mit Firefox
Dieser Text ist im Cache von metaowl.de - das Original ist hier zu finden.
Gerade über diese Firefox Erweiterung gestolpert, die ich noch nicht kannte und die ich für ganz sinnvoll halte: Der Secure Login Manager als Ersatz für den Firefox eigenen Password Manager und die Firefox Funktionen zum automatischen Einsetzen von Username/Passwort Kombinationen, der ein Aspekt (neben Zertifikat überprüfen, weitere Absicherungsmechanismen für den Browser etc.) darstellt, um sich vor Angriffen zu schützen, die mit dem Auslesen/Abfangen von Passwortdaten zu tun haben.
Mehr Informationen kann man über den informativen (deutschsprachigen) Thread Opera Wand for Firefox - Secure Login bei www.firefox-broser.de einholen. Ich beschränke mich mal auf einen Auszug aus der Beschreibung der deutschsprachigen Seite zum Secure Login auf www.erweiterungen.de:
Die Erweiterung Autofill Forms vom gleichen Autor, die gestern – allerdings in der Version 0.1 – veröffentlicht wurde, könnte als Ergänzung zu Secure Login ganz interessant sein, aber auch unabhängig von der Sicherheitserweiterung.
Mehr Informationen kann man über den informativen (deutschsprachigen) Thread Opera Wand for Firefox - Secure Login bei www.firefox-broser.de einholen. Ich beschränke mich mal auf einen Auszug aus der Beschreibung der deutschsprachigen Seite zum Secure Login auf www.erweiterungen.de:
Das Deaktivieren des automatischen Ausfüllens von Login-Formularen hindert bösartigen JavaScript-Code daran, automatisiert Login-Daten zu stehlen. Dies wird erreicht, indem keine Login-Daten in Formularfelder eingetragen werden, so lange der Benutzer nicht auf die Login-Schaltfläche klickt oder das Tastaturkürzel betätigt.
Um sicherzustellen, dass man sich auf der richtigen Website einloggt, wird die Second-Level-Domain der Login-URL mit der Second-Level-Domain der aktuellen Seite verglichen. Falls die Domains nicht übereinstimmen, wird ein Bestätigungs-Dialog präsentiert, bevor der Login-Vorgang ausgeführt wird.
Secure Login bietet eine optionale Einstellung zum Schutz vor jeglichem JavaScript-Code während des Login-Vorgangs. Diese Einstellung kann Cross-Site-Scripting-Attacken (XSS) verhindern, ohne JavaScript komplett deaktivieren zu müssen.
Ist diese Einstellung aktiviert, werden die Login-Daten nie in Formularfelder eingetragen und das Formular auch nicht abgeschickt. Stattdessen werden die Authentifizierungs-Daten mit Hilfe interner Firefox-Methoden an die Login-Seite übermittelt.
Nicht alle Login Formulare funktionieren mit dieser Methode, z.B. wenn sie JavaScript-Routinen verwenden. Daher kann man solche Websites in eine Ausnahmen-Liste aufnehmen.
Ich habe die Erweiterung mit zwei Sites getestet und dabei auch mal Wireshark mitlaufen lassen, um zu schauen, ob nach dem Start von Firefox, nach dem Freischalten der Passwortdatei über das Masterpasswort, während des Aufrufs des Loginformulars und nach Übergabe der Daten irgendetwas an einen anderen Rechner als die berechtigte Site übertragen wird – ich konnte nichts beobachten und die Verwendung des Secure Login Managers funktionierte ohne Probleme.Um sicherzustellen, dass man sich auf der richtigen Website einloggt, wird die Second-Level-Domain der Login-URL mit der Second-Level-Domain der aktuellen Seite verglichen. Falls die Domains nicht übereinstimmen, wird ein Bestätigungs-Dialog präsentiert, bevor der Login-Vorgang ausgeführt wird.
Secure Login bietet eine optionale Einstellung zum Schutz vor jeglichem JavaScript-Code während des Login-Vorgangs. Diese Einstellung kann Cross-Site-Scripting-Attacken (XSS) verhindern, ohne JavaScript komplett deaktivieren zu müssen.
Ist diese Einstellung aktiviert, werden die Login-Daten nie in Formularfelder eingetragen und das Formular auch nicht abgeschickt. Stattdessen werden die Authentifizierungs-Daten mit Hilfe interner Firefox-Methoden an die Login-Seite übermittelt.
Nicht alle Login Formulare funktionieren mit dieser Methode, z.B. wenn sie JavaScript-Routinen verwenden. Daher kann man solche Websites in eine Ausnahmen-Liste aufnehmen.
Die Erweiterung Autofill Forms vom gleichen Autor, die gestern – allerdings in der Version 0.1 – veröffentlicht wurde, könnte als Ergänzung zu Secure Login ganz interessant sein, aber auch unabhängig von der Sicherheitserweiterung.
von rabenhorst - Owl,
gepostet am Sonntag, 8. April 2007 um 8:59
