Firefox: Master-Passwort seit Jahren aufgrund nur einer Zahl unsicher

Im Open Source-Browser Firefox wird es Angreifern an entscheidender Stelle relativ einfach gemacht, eine der wichtigsten Schutzmaßnahmen sicherheitsbewusster Anwender zu attackieren. Das Master-Passwort, mit dem alle gespeicherten Kennungen ... mehr... Browser, Logo, Firefox, Mozilla, Mozilla Firefox Bildquelle: Mozilla Browser, Logo, Firefox, Mozilla, Mozilla Firefox Browser, Logo, Firefox, Mozilla, Mozilla Firefox Mozilla

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Und nun? Wurde es inzwischen geändert oder besteht der "Fehler" noch im aktuellen FF?
 
@Runaway-Fan: Ja der Fehler besteht noch im aktuellen FF
 
@0711: Das betrifft einen aber nur, wer intern im Firefox die Passwörter speichert und dann die vermeintliche Sicherheit "Master Passwort" überhaupt aktiviert. Selbst dann ist das immer noch sicherer, als wenn man, wie es vermutlich die meisten machen, überhaupt kein Master Passwort setzt ;)
Solange man jetzt nicht über eine andere Sicherheitslücke an den Store kommt, setzt die Attacke aber auch einen direkten Zugriff auf den Rechner voraus.
 
Bestechende Logik, Open Source führt dazu, dass Leute denken, jemand anderes hätte schon geguckt und nicht selber gucken. Gegen Ende des Artikels wird dann aber erwähnt, dass doch schon jemand zeitnah geguckt hatte und diesen Fehler sogar im Bugtracker meldete. Das Open Source Modell hat ja scheinbar doch zur frühen Meldung geführt, nur scheiterte es dann anscheinend an mangelnder Sensibilität bei Mozilla.

Ansonsten geht der Artikel leider nicht darauf ein, wie schwerwiegend diese Lücke ist und wie überhaupt ein Angriffsszenario aussieht. Gehe ich richtig in der Vermutung, dass zum Brute Force Angriff auf das Masterpasswort lokale Codeausführung mit Dateisystemzugriff nötig ist? Dann betrifft es User nämlich erst, wenn ihr Rechner bereits kompromittiert ist und das Passwort auch abgefischt werden kann, wenn der User es das nächste Mal eingibt.

Das ist niemals eine Entschuldigung für niedrige Socherheitsstandards, aber eine gewisse Einordnung wäre trotzdem hilfreich.
 
@dpazra: Deine Vermutung ist richtig, wobei keylogger für Heuristische erkennungsmethoden natürlich auffälliger ist als z.B. den passwortcontainer hochzuladen
 
@dpazra: Leider hat aber nach dem ersten Mal ganze 9 Jahre kein weiterer mehr geschaut und den Fehler erneut gemeldet.

Somit treffen sämtliche Vorwürfe doch zu. Selbst wenn der erste Bugeintrag falsch eingeschätzt worden ist, hätte das ja andere der OpenSource Logik nach nicht davon abhalten sollen auch selbst nachzuschauen. Hat aber wohl ganze 9 Jahre niemand gemacht und das bei einer so sicherheitskritischen Funktion wie der Verschlüsselung des Masterpasswortes. Wie das bei anderen nicht so wichtigen Teilen des Codes aussieht, sei mal dahingestellt.

Der Vorteil des quelloffenen Sourcecodes ist nun mal ein rein theoretischer. Nur sehr wenige verstehen überhaupt von anderen geschriebenen Code, wenn er nicht sehr gut dokumentiert ist und noch weniger (bis gar keine) machen sich anscheinend die Mühe fremden Code zu prüfen.

Man wirft Microsoft ja immer wieder vor, dass der Code closed ist, dabei gibt es seit ca. 15 Jahren das sog. Shared Source Programm, wo z.B. Regierungen und andere Großkunden mit berechtigtem Interesse Einsicht in den Code bekommen können, wenn sie es denn wollen.
Ob das aber jemand wirklich schon mal ernsthaft gemacht hat, würde mich auch interessieren. Vermutlich haben die gar keine Zeit und noch weniger Geld dazu, um den Aufwand zu treiben.
 
@Teddybär2: doch vor weniger als 8 jahren wurde ein duplikat geposted und es gab auch ein paar (leider seltene) comments zu diesem bug.
 
@Teddybär2: Und jetzt stell dir die gleiche Situation bei Closed Source vor. Extern guckt niemand, intern noch viel weniger Augen, wobei ein Großteil von diesen Augen eh mit dem regulären Tagesgeschäft ausgelastet ist.

Gerade Microsoft hat eine Historie, Lücken jahrelang offen zu lassen, wenn sie der Meinung sind, dass sie extern nicht bekannt sind oder sie davon ausgehen, dass sie einfach nur nicht an die große Glocke gehängt werden. Und Google hat inzwischen mehrfach gezeigt, dass selbst bei Lücken, von denen MS weiß, dass sie nach ein paar Monaten veröffentlicht werden, kaum in die Gänge kommt.

Und ja, es gibt dieses Programm. Die Hürden dafür sind aber extrem hoch. Während es bei Open Source nach einem git clone losgehen kann.
 
@Niccolo Machiavelli: Äh ne? Bei Closed Source - Entwicklung mit festem Entwicklerteam, gibt es normalerweise feste Zuständigkeiten. Und dann kommt ein solcher Bug auf die To-Do für den nächsten Release und wird dem zuständigen Entwickler zugewiesen, auf dessen Monitor es dann solange in der Liste nervt, bis er es abhakt.
Ein Sammelsurium mit Bugs, wo jeder mal hier und mal da dran arbeitet, worauf er gerade Lust hat, dürfte es da nicht geben.
Dass sowas aus Versehen übersehen wird, halte ich da für relativ unwahrscheinlich.

Ist doch genau das gleiche wie mit der schweren OpenSSL-Lücke vor einiger Zeit. Dank Open Source denkt jeder, ein anderer machts oder wirds bereits gemacht/geprüft/getestet haben. Am Ende hat es sich dann doch niemand genauer angeschaut.
Das gleiche gilt für Open Source Verschlüsselungs-Programme wie TrueCrypt oder VeraCrypt. In der Theorie steht der Quellcode offen für alle zur Einsichtnahme und Überprüfung (auf Backdoors etc.) zur Verfügung. Das ist nur solange rein gar nichts wert, bis es auch wirklich einer gewissenhaft prüft.
Das Argument "da wird schon keine Backdoor drin sein, weil das ja jeder im Code sehen kann" zählt halt nur, wenn auch wirklich mal einer reinguckt, statt sich blind drauf zu verlassen. Aus diesem Grund vertraue ich Open Source - Software kein bisschen mehr als Closed Source.
 
@mh0001: Du hast keine Ahnung. Die Kernentwickler bei großen/wichtigen Open-Source-Projekten sind üblicherweise festangestellte Entwickler in diversen Software-Firmen, die bezahlt von ihrer Firma Vollzeit an der Software arbeiten. "Mal hier, mal da" gearbeitet wird höchstens außerhalb des Kernbereiches, und selbst da wird der Code von den entsprechenden Kernentwicklern gesichtet, bevor er gemergt wird. Genauso sind die Zuständigkeiten aufgeteilt. Eher finde ich es faszinierend, dass du offenbar zu glauben scheinst, dass es nicht so wäre. Was wiederum sehr gut darauf schließen lässt, wie viel Gewicht man deiner Meinung beimessen sollte.
 
@dpazra: "Ansonsten geht der Artikel leider nicht darauf ein, wie schwerwiegend diese Lücke ist und wie überhaupt ein Angriffsszenario aussieht."

Dieses multiple Hashen dient als Schutz gegen Brute Force. Wenn eine schnelle CPU sagen wir mal eine Sekunde braucht, um eine Zeichenkette 100.000 mal hintereinander zu hashen, stört das den normalen Anwender so gut wie gar nicht. Brute Force wird dagegen so gut wie unmöglich gemacht. Sollte der Angreifer aber bereits auf deinem Rechner sein, ist es eh einfacher den Hash zu klauen und damit zu vergleichen. Wobei das afaik eh bereits der Fall sein muss, damit man sich an der FF-PW-Datenbank zu schaffen machen kann. M.E. eine recht unkritische Lücke, die allerdings auch schnell hätte fixen können.
 
Betrifft das Problem auch Thunderbird? Im Gegensatz zu Browsern speichere ich im E-Mail-Client ja tatsächlich Passwörter.
 
@crmsnrzl: höchstwahrscheinlich: ja...
 
@Rulf: Das Passwörter speichern ist selbst ja nicht das Problem, sondern das (optionale) Verwenden eines Master Passwortes ist nicht so sicher wie suggeriert.
 
@toco: Wobei man mit weichem Masterpasswort immer noch erheblich sicherer ist als wenn die Passwörter völlig ungesichert abgespeichert werden.
 
Mal davon abgesehen, dass das Kritisch ist - wer bis zum Firefox-Masterpasswort kommt hat es eh schon zu weit geschafft.

Ich nutze diese Masterpasswörter nicht - einzig validen Einsatzpunkt sehe ich Portable Apps auf USB-Sticks.
 
Das mit den Masterpasswort ist lächerlich. Bei Heise steht was vom jährlichen Hacker Wettbewerb und das Firefox ganz leicht übernommen werden kannn. Wo ist der Schutz bei Firefox geblieben. Shit ich muß mir doch langsam mit einem anderen Spy Browser beschäftigen. Mozilla schießt sich selber ab.
 
Was is das für ein Haufen bei Mozilla? Freizeitprogrammierer oder Azubies??? Wie kann das "niemanden" interessieren? Alter Schwede...
 
@Zonediver: Genau darum bin ich schon lange auf Chrome umgestiegen. Und nun können uns die FireFoxFanboys downvoten.
 
@Sonja19: Naja... das is für mich leider keine Alternative, da dem Chrome grundlegende Funktionen fehlen.
 
@Sonja19: In Chrome gab es dieses Feature doch selbst lange nicht (bis Chrome 48), weil Google meinte, dass es nicht wichtig sei, und es ist bis heute eher umständlich einzurichten.
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 09:00 Uhr AY Drahtloser Bluetooth Lautsprecher 4.2,Tragbarer Lautsprecher mit HD Audio und 30W verbesserter Bass,TWS Unterstützt,IPX7 Wasserdicht,24 Stunden Spielzeit,Perfekt für Zuhause, im Freien, ReisenAY Drahtloser Bluetooth Lautsprecher 4.2,Tragbarer Lautsprecher mit HD Audio und 30W verbesserter Bass,TWS Unterstützt,IPX7 Wasserdicht,24 Stunden Spielzeit,Perfekt für Zuhause, im Freien, Reisen
Original Amazon-Preis
39,99
Im Preisvergleich ab
?
Blitzangebot-Preis
33,99
Ersparnis zu Amazon 15% oder 6