Christian Dinse bloggt.

Mir ist ja bewusst, dass man sensible Passwörter nicht im Browser speichern sollte, aber wieso Firefox auch in der aktuellsten Version diese Dinger noch immer in Plaintext (ohne Schutz) speichert, bleibt ein Rätsel.

Szenario:
- Google Chrome installiert
- Frage “Daten aus Firefox importieren”
- alles, auch gespeicherte Passwörter sind da

Gleicher Test, aber mit gesetztem Masterpasswort in Firefox:
Google Chrome hat alles importiert, aber keine Passwörter (gut!).

Sicherlich ist für ein automatisches Ausfüllen von Formularen der Plaintext unumgänglich, dennoch kann man aber auch dieses für Aussenstehende schwieriger auslesbar machen, in dem man die sensiblen Daten hashed, den zughöriger Schlüssel aber auch parat hat. Klingt wieder genauso unsicher, macht aber dann Sinn, wenn der Schlüssel auf Basis einer Zufalls-ID, dem Betriebsystem/Uhrzeit/irgendwelcher Profildaten des Benutzes am System/etc. erzeugt wurde.

Was man dann natürlich nicht machen darf (als Hersteller des Browsers) ist, die Funktion offen zu legen, wie der Hash erzeugt wurde bzw. wie genau er anzuwenden ist. Auch die Stelle, an der man den Hash findet sollte “geheim” bleiben. Es gibt zahlreiche Stellen, an denen man solche Dinge gut verstecken kann. Nichts spricht gegen ein Reinkompilieren (während der Installation) des Hashes in eine Datei des Browserpaketes.

Generell macht sich über sowas aber keiner Gedanken. Das höchste ist ja schon, wie man Maleware, selbst vom Browser, besser erkennen lassen kann. Schade, irgendwie.

Jeder von uns kennt sie: die Spam abwehrenden (mal besser, mal schlechter) Sicherheitscodes auf Webseiten. Mal muss man eine bunte Zahlenfolge abtippen, mal die Frage beantworten, welche Farbe eine Banane hat.

Hier mein persönliches “Proof of Concept” zum Thema Spambekämpfung mit einem Schuß Wahnwitz. Ein Captcha in Form eines “Rubbellos”. Benutze jetzt deine Maus (und die linke Maustaste) und leg los.

Daneben könnte ein Feld sein “Bitte gib die Buchstabenfolge ein.”

Seit einigen Jahren ist die Dominanz von Flash nicht mehr weg zu Reden, gute 98 % aller Internetnutzer haben Flash auf Ihrem Rechner installiert (Version 6 aufwärts). Obiges Captcha ist als Flash 6 gespeichert, sollte also in jedem Fall bei dir sichtbar sein, es sei denn Du blockst Flash und anderen Kram.

Wie die Idee entstanden ist

Vor einigen Tagen sollte ich mir (ich bin Webentwickler) Gedanken zu einem interaktiven Online-Gewinnspiel machen. Beim Brainstormen mit den Kollegen kamen wir auf die Idee, Rubbellose in das Ganze einzubeziehen, weil man sowas Online bisher selten gesehen hat, und es über stupides Klicken hinaus geht. Der Teilnehmer muss Hand anlegen und mit jeder Sekunde wächst die Spannung auf ein gutes Ende.