[...] Ojeoje, das klingt ja nicht sehr beruhigend – habe gerade bei basicthinking.de darüber gelesen, daß der Firefox Passwort Manager unsicher und mit Phishing Attacken dazu zu überreden ist, Passwörter zu verraten. Das scheint mir zwar eher ein Problem der vom Phishing betroffenen Site zu sein – trotzdem nicht schön für den Firefox. Empfehlung von “The Inquirer“: den Passwort Manager bis auf Weiteres abschalten … Plan B wenn man sich nicht alle Passwörter merken kann/möchte: auf ein Tool wie Roboform zurückgreifen … [...]

[...] Bereits vor ein paar Tagen ist ein ganz übler Bug im Firefox 2.0 bekannt geworden und es wird in diversen Blogs, wie auch dem Basic Thinking Blog, wo ich es heute gelesen hatte, davor gewarnt, Zugangsdaten im Passwortmanager vom Firefox abzuspeichern! Da es möglich ist von beliebigen Seiten einer Domain, die vom Browser gespeicherten Passwörter von anderen Seiten dieser Domain, auszulesen. Wer die Sache nicht glauben mag, auf Heise.de kann man das austesten … [...]

Ganz ordinäres Win XP Home Edition SP2. Spezielle Plugins, die was mit den Passwörtern machen, habe ich eigentlich nicht installiert… *hmm*

@Ralf #22
Das ist komisch. Welches BS? Und irgendwelche Plugins oder externe Programme, die sich für PWDs verantwortlichen fühlen könnten?

Danke für den Hinweis. Bei mir sind nur unwichtige Passwörter gespeichert.
Auf Grund des Tipps darf man Dir die unschöne Tautologie “Super-Gau” verzeihen, oder?

Bin ich der einzige, bei dem sich die Abstürze seit FF 2.0 deutlich erhöht haben? Ist das normal?

jede gute software hat auch mal einen fehler. das ist wie mit den menschen. es gibt keine perfekten mensch und somit auch keine perfekte software.

Auch das Beispiel funktioniert bei mir nicht. JS ist natürlich aktiviert…

Die Heisedemo geht nur mit aktivem JS(form.submit). Diese hier hat auch bei meinem 1.5.0.8er(Win 2k) geklappt.

Gehe ich richtig in der Annahme, dass das Problem nur den FF 2.x betrifft? habe noch den 1.5.0.8 und da funktioniert die Heise Demo nicht.

Ach, alles halb so wild. Betrifft doch nur Seiten, wo Fremde ein Formular hinzufügen können. Und wenn das Loginverfahren mit Cookies arbeitet und man auch JavaScript verwenden darf, lassen sich die Logins auch damit stehlen. Aber all das würde ich eher als Problem der Website sehen.

Bei Sicherheitskritischen Webseiten wie z.B Banken, Ebay, PayPal etc. speicher ich meine Passwörter nicht. Das ist mir zu heikel.

Bei unwichtigen wie z.B. Foren schon.

[...] Nun macht im Internet die Meldung die Runde, dass der Passwortmanager von Firefox 2.0 ein großes Sicherheitsloch besitzt. Kurz und relativ untechnisch erklärt ist es möglich, dass der Passwortmanager die gespeicherten Benutzernamen und Passwörter an Webseiten übermittelt, die gar nicht zum Empfang der Daten berechtigt sind. Entsprechende DiebesSeiten wurden auch schon gefunden. Dass der Empfänger dieser sensiblen Daten sicherlich nichts Gutes mit der der Beute im Schilde führt, kann sich sicherlich jeder selbst denken. [...]

Firefox Sicherheitslücke: Passwörter können ausgelesen werden…

Gerade bei Basic Thinking gelesen. Jede Seite kann theoretisch alle gespeicherten Passwörter auslesen. Sobald man also eine infizierte Seite lädt, kann die Seite alle möglichen Passwörter auslesen, die in Firefox gespeichert sind.
Bei heise gibt es…

schön – kaum passiert sowas beim FireFox sagen alle wieder – ist unschön aber wird behoben – also kein Problem – nur bei MS wird gleich wie wahnsinnig rumgehackt….

ist irgendjemand in dieser Welt mal aufgefallen, dass MS inzwischen “menschlich” wird, im Gegensatz zu Google??
(MS – people-ready business)

@Rob
Ohne hier auf Heiseniveau kommen zu wollen.
Aber von einem Super-GAU zu sprechen ist wohl etwas übertrieben. Immerhin setzt es voraus, das der User auf die Phishingfalle reinfällt.
Und wenn er das macht, ist es egal ober das Login vom Fuchs oder dem User gemacht wird.

Schön ist der Bug nicht, das gebe ich zu. Ich denke mal, morgen wird es dann ein Update geben. Also kein warten auf den nächsten Patchday ;-)

Jörg, mach doch einfach oben den Heise-Test;)

Passwort-Manager im Firefox erstmal abschalten…

Schließ ich mich auch der Meldung an:
Firefox-Warnung: Passwortmanager hat brandgefährliche Sicherheitslücke
Und die zwischenzeitlich Lösung heißt auf jeden Fall:
Passwortmanager komplett abschalten

Unter anderem bei Robert, Golem und Heise…

Wie sieht es denn aus, wenn man seine Passwörter nicht über Firefox speichert sondern über ein Programm wie z.B. Roboform (www.roboform.com)?
Das müsste doch eigentlich sicher sein – oder täusche ich mich da???

Schade das gute Bild von FF wurde befleckt. Trotzdem ist FF für mich immer noch das bessere Produkt im Vergleich zu IE. Der IE 7 ist für mich irgendwie träge und die darstellung der Websiten ist irgendwie anders, ich kann es nicht beschreiben.

Ich persönlich verwende aber sowieso Roboform, als Alternative für die Browserpasswortspeicherung, und damit gibt es bis jetzt solche Probleme nicht und ich habe alle Passwörter in allen Browser zur Verfügung.

Lothar B. Baier hat hier wohl leider recht.
http://www.info-svc.com/news/11-21-2006/rcsr1/
Gebt hier die Zugangsdaten ein, speichert das Passwort nicht und klickt dann auf das Video. Danach schaut euch mal die URL genauer an und ihr werdet euren Benutzernamen und das Passwort wiederfinden.
Traurig aber wahr.

Oops …

Nicht gut.

Also der IE überprüft immerhin (laut heise.de) den kompletten Pfad.

Super-GAU für Firefox…

Firefox-Warnung: Passwortmanager hat brandgefährliche Sicherheitslücke
Empfehlung: Passwortmanager komplett abschalten!!!

……

[...] Heise.de berichtete dass laut einer, von Mozilla in Auftrag gegebene Studie, der Firefox sicherer als sein Konkurrent sein soll. MS behauptete das Gegenteil und berief sich eben falls auf eine, in Auftrag gegebene Studie.Doch so schnell kann sich das Blatt wenden. Durch Robert Basic wurde ich aber darauf aufmerksam gemacht, dass derzeit der IE 7 wirklich sicherer ist als der FF 2.0. Er beruft sich da auf The Inquierer welcher darauf aufmerksam gemacht hat. Auch Heise berichtet davon. [...]

Ich sage nur “endlich”…

Sobald ein Software-Produkt eine kritische Masse erreicht hat, dass es sich lohnt “Löcher” zu finden, dann gehts los und ich glaube auch alle Macs haben “Löcher”, aber bei nur ca. 4% Nutzer weltweit lohnt sich die suche nicht, oder das entwickeln von Viren!

Der Sachverhalt wird hier nicht ganz richtig dargestellt. Die Sicherheitslücke hat nicht direkt mit dem Passwort-Manager zu tun. Es ist eher eine neue Art von Phishing, vor der der FF nicht gefeit ist. Er merkt einfach nicht, wenn die Eingabe des Logins nicht an die Seite geschickt wird, die den Login angefordert hat, sondern an irgendeine andere Domain. Und zwar auch, wenn man die Eingaben von Hand macht.
Das eigentliche Problem liegt hier aber bei der Website, die es über Cross-Site-Scripting zulässt, das ein Formular die Eingaben woanders hin liefert, als nach Hause.

Das kommt davon, wenn man zu faul ist sich die Passwörter zu merken und sie zu tippen!!!!

Bei mir sind es (auch) viele, aber das letzte bißchen Gedächtnistraining möchte ich noch haben :)

hoah, welch ein Glück das ich meine Pw noch nie gespeichert hab, ich tipp lieber, schon immer. Jetzt zahlt sich diese Angewohnheit aus.