Hallo,
erstmal solltest du dir im klaren darüber sein... was das für eine Sicherheitslücke sein kann 
Bei phpmyadmin, probiere mal folgendes:
$cfg['auth_type'] = 'cookie';
# Mit dem Typ config kannst du einen einzelnen Benutzer in der Config festlegen, dann entfällt der komplette Login.
Denke daran das hierfür PHP-mcrypt installiert sein muss.
Als nächstes solltest du die Cookie Gültigkeit erhöhen, z.B für eine Woche:
$cfg['LoginCookieValidity'] = 60*60*24*7;
(seconds * minutes * hours * days)
Sollte das keinen Effekt haben, überprüfe in der php.ini den Wert session.gc_maxlifetime.
Beispiel:
$cfg['LoginCookieValidity'] = 60*60*24*7*52;
ini_set('session.gc_maxlifetime', $cfg['LoginCookieValidity']);
Für Roundcube wird es sicherlich eine ähnliche Lösung geben, nutze aktuell aber einen anderen Webmailer der die Funktion Passwort speichern und einen 1 jahr cookie im Browser setzt.
Gruß Jack
Bezüglich des Kennworts im Browser speichern zitiere ich mal die Konfig Datei "main.inc.php"
// Allow browser-autocompletion on login form.
// 0 - disabled, 1 - username and host only, 2 - username, host, password
$rcmail_config['login_autocomplete'] = 0;Ich denke es reicht das entsprechend zu konfigurieren.
Gruß
Björn
Ah Ok, also zumindest unter Opera ist das Speichern des Liveconfig Logins kein Problem...aber das nur am Rande.
Wir haben das AutoComplete absichtlich und bewusst deaktiviert - alleine aus Sicherheitsgründen.
Da es die Nachfrage aber häufiger gibt, bauen wir einige Einstellungsmöglichkeiten für Sicherheitseinstellungen ein - sowohl AutoComplete als auch z.B. die Mindestlänge für automatisch erzeugte Passwörter sind dann konfigurierbar.
Siehe Ticket #82.
Leider ist fehlendes Autocomplete aber auch ein massiver Komfortverlust... Hat jemand einen Link parat, der das angeblich so große Sicherheitsrisiko erläutert?
In Firefox habe ich ein Greasemonkey Script, das mir auf allen Websites autocomplete aktiviert - Bevormundung muss nicht sein...
Leider ist fehlendes Autocomplete aber auch ein massiver Komfortverlust... Hat jemand einen Link parat, der das angeblich so große Sicherheitsrisiko erläutert?
In Firefox habe ich ein Greasemonkey Script, das mir auf allen Websites autocomplete aktiviert - Bevormundung muss nicht sein...
Ich empfehle an dieser Stelle die Lektüre der PCI-DSS Richtlinie, die Empfehlung des BSI und zusätzlich einfach mal testweise ein Systemtest (Hackerguard, Nessus, CPI) mit aktiviertem AutoComplete. Es hat seinen Grund, warum man z.b. bei Kreditkartenabrechnungssystemen das Zertifikat nicht erhält, wenn man so etwas aktiviert. (Ach ja, gerade bei Firefox ist es auch herrlich einfach, die Daten direkt per Scipt auszulesen (beim BSI gibt's zu dieser Unsitte einen herrlichen Artikel)
Ich empfehle an dieser Stelle die Lektüre der PCI-DSS Richtlinie, die Empfehlung des BSI und zusätzlich einfach mal testweise ein Systemtest (Hackerguard, Nessus, CPI) mit aktiviertem AutoComplete. Es hat seinen Grund, warum man z.b. bei Kreditkartenabrechnungssystemen das Zertifikat nicht erhält, wenn man so etwas aktiviert. (Ach ja, gerade bei Firefox ist es auch herrlich einfach, die Daten direkt per Scipt auszulesen (beim BSI gibt's zu dieser Unsitte einen herrlichen Artikel)
Sind deine Ausführungen auch gültig, wenn man in Firefox ein Master-Passwort hat? Ich wüsste nicht, was mit Master-Passwort dagegen spricht...
Erklär mir, in wie weit aus Deiner Sicht ein "Masterpasswort" das Abgreifen unterdrückt/verhindert (und nicht nur unwesentlich erschwert...).
Nur mal so als Zwischenmeldung 
- mit v1.7.0 gibt es eine zusätzliche Verwaltungsmöglichkeit für "interne" Konfigurationseinstellungen von LiveConfig. Damit kann dann u.a. auch das AutoFill für die Anmeldung aktiviert werden (bleibt standardmäßig aber deaktiviert) oder die Länge/Komplexität von Passwörtern etc. definiert werden.
Schöne Pfingsten!
Nachtrag: die BSI-Empfehlung für's Sichere Surfen mit Firefox gibt's übrigens hier. AutoComplete wird auf Seite 9 erwähnt.
Im eigentlich noch wichtigeren "IT-Grundschutz-Katalog" wird explizit empfohlen, AutoComplete=off zu setzen, siehe hier (Seite 97).
Du Guter
Erklär mir, in wie weit aus Deiner Sicht ein "Masterpasswort" das Abgreifen unterdrückt/verhindert (und nicht nur unwesentlich erschwert...).
in der von Herrn Keppler verlinkten BSI-Empfehlung zu Firefox steht auch nur, dass man Master-Passwörter verwenden soll, nicht dass man das Speichern der Passwörter komplett unterbinden soll.
Welchen Unterschied macht es, ob das Passwort in der Firefox-DB oder in der (z.B.) KeePass-DB liegt - außer dass der Komfort (und damit die User-Akzeptanz) deutlich sinkt?
Für uns (als Softwarehersteller) ist der IT-Grundschutz-Katalog relevanter als die Firefox-Empfehlung, da dieser auch Grundlage für eine eventuelle BSI-Zertifizierung ist.
Letztendlich ist es immer eine Frage, wohin man seine Schwachstelle verlagert. Was nutzt eine strenge Passwort-Policy (>12 Zeichen, Sonderzeichen, Zahlen usw.), wenn sich dann niemand mehr das Passwort merken kann, man es im Firefox/KeePass/... speichert, so dass es ggf über ein bösartiges Script ausgelesen werden kann? Oder der User vergisst es gleich und lässt sich dann über eine simple E-Mail einen Link zum Zurücksetzen des Passworts zuschicken...
Meiner Meinung nach bietet eine Zwei-Faktor-Authentifizierung mit einem "merkbaren" Passwort und einem persönlichen Token-Generator (Token/Smartphone/...) weitaus mehr Sicherheit als ein Passwort, dass so komplex ist, dass man auf dessen Speicherung in irgendeiner Passwort-Datenbank angewiesen ist.
[Jippiee... 1000stes Posting :)]
Für uns (als Softwarehersteller)
[Jippiee... 1000stes Posting :)]
Ich will Dein Stück Kuchen, wenn Du die Kerzen fertig ausgeblasen hast (dann kannst Du es eh erst mal nicht essen *fg*)
Ich will Dein Stück Kuchen, wenn Du die Kerzen fertig ausgeblasen hast
Soll ich's am Mittwoch mitbringen? Vielleicht gibt der Zeitplan ja auch noch einen Abstecher bei uns im Büro her - Kaffee ist genug da.
Sehr gute Idee
so dass es ggf über ein bösartiges Script ausgelesen werden kann
Wenn ich ein bösartiges Script auf dem Rechner habe, ist sowieso schon alles zu spät. Das kann das auch mein Passwort abgreifen, das ich aus dem Gedächtnis eintippe. Nicht mehr also, als bei Einsatz von KeePass oder/und FF mit Master-Passwort.
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!
