Google Chrome 2 – Firefox-Profilimport und seine Schwäche!

Google Chrome 2 – Firefox-Profilimport und seine Schwäche!

Mir ist ja bewusst, dass man sensible Passwörter nicht im Browser speichern sollte, aber wieso Firefox auch in der aktuellsten Version diese Dinger noch immer in Plaintext (ohne Schutz) speichert, bleibt ein Rätsel.

Szenario:
– Google Chrome installiert
– Frage „Daten aus Firefox importieren“
– alles, auch gespeicherte Passwörter sind da

Gleicher Test, aber mit gesetztem Masterpasswort in Firefox:
Google Chrome hat alles importiert, aber keine Passwörter (gut!).

Sicherlich ist für ein automatisches Ausfüllen von Formularen der Plaintext unumgänglich, dennoch kann man aber auch dieses für Aussenstehende schwieriger auslesbar machen, in dem man die sensiblen Daten hashed, den zughöriger Schlüssel aber auch parat hat. Klingt wieder genauso unsicher, macht aber dann Sinn, wenn der Schlüssel auf Basis einer Zufalls-ID, dem Betriebsystem/Uhrzeit/irgendwelcher Profildaten des Benutzes am System/etc. erzeugt wurde.

Was man dann natürlich nicht machen darf (als Hersteller des Browsers) ist, die Funktion offen zu legen, wie der Hash erzeugt wurde bzw. wie genau er anzuwenden ist. Auch die Stelle, an der man den Hash findet sollte „geheim“ bleiben. Es gibt zahlreiche Stellen, an denen man solche Dinge gut verstecken kann. Nichts spricht gegen ein Reinkompilieren (während der Installation) des Hashes in eine Datei des Browserpaketes.

Generell macht sich über sowas aber keiner Gedanken. Das höchste ist ja schon, wie man Maleware, selbst vom Browser, besser erkennen lassen kann. Schade, irgendwie.

Ein Kommentar

  • ego

    Das Speichern von Passwörtern kann auch verschlüsselt sein und dennoch ist es kein Problem die Passwörter auszulesen, denn der Key muss irgendwo gespeichert werden. Die Stelle und der Algorithmus stehen im Plaintext. Auch der Import von Masterpasswort geschützten Passwörtern ist möglich jedoch nicht implementiert.

    Diese Funktion müsste vom Betriebssystem bereitgestellt werden, somit sie halbwegs sicher ist.

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.