• Hallo liebe Userinnen und User,

    nach bereits längeren Planungen und Vorbereitungen sind wir nun von vBulletin auf Xenforo umgestiegen. Die Umstellung musste leider aufgrund der Serverprobleme der letzten Tage notgedrungen vorverlegt werden. Das neue Forum ist soweit voll funktionsfähig, allerdings sind noch nicht alle der gewohnten Funktionen vorhanden. Nach Möglichkeit werden wir sie in den nächsten Wochen nachrüsten. Dafür sollte es nun einige der Probleme lösen, die wir in den letzten Tagen, Wochen und Monaten hatten. Auch der Server ist nun potenter als bei unserem alten Hoster, wodurch wir nun langfristig den Tank mit Bytes vollgetankt haben.

    Anfangs mag die neue Boardsoftware etwas ungewohnt sein, aber man findet sich recht schnell ein. Wir wissen, dass ihr alle Gewohnheitstiere seid, aber gebt dem neuen Board eine Chance.
    Sollte etwas der neuen oder auch gewohnten Funktionen unklar sein, könnt ihr den "Wo issn da der Button zu"-Thread im Feedback nutzen. Bugs meldet ihr bitte im Bugtracker, es wird sicher welche geben die uns noch nicht aufgefallen sind. Ich werde das dann versuchen, halbwegs im Startbeitrag übersichtlich zu halten, was an Arbeit noch aussteht.

    Neu ist, dass die Boardsoftware deutlich besser für Mobiltelefone und diverse Endgeräte geeignet ist und nun auch im mobilen Style alle Funktionen verfügbar sind. Am Desktop findet ihr oben rechts sowohl den Umschalter zwischen hellem und dunklem Style. Am Handy ist der Hell-/Dunkelschalter am Ende der Seite. Damit sollte zukünftig jeder sein Board so konfigurieren können, wie es ihm am liebsten ist.


    Die restlichen Funktionen sollten eigentlich soweit wie gewohnt funktionieren. Einfach mal ein wenig damit spielen oder bei Unklarheiten im Thread nachfragen. Viel Spaß im ngb 2.0.

NGB PasswortManager

sia

gesperrt

Registriert
26 März 2015
Beiträge
5.931
Ort
FFM (NSFW)
Wenn du einen Trojaner mit Keylogger auf dem Rechner hast, kannst du dir nicht sicher sein, dass der nicht auch Dateien versenden kann.

Man könnte beispielsweise pupy mit einem Uploader versehen. Nachdem der PC exploited ist, hat man alle Passwörter.

Eine Regel in der Computersicherheit: Wenn Malware auf deinem PC ist, ist es nicht mehr dein PC. Oder auch: Verschlüsselte Daten sind nur so sicher wie deren Passwort.
 

HoneyBadger

Aktiver NGBler

Registriert
7 Sep. 2015
Beiträge
1.956
Bei KeePass2 kann man sich das Master Password über´n "Safe Screen" eingeben lassen. Schützt das besser vor Keyloggern? Wahrscheinlich nicht, oder?
 

sia

gesperrt

Registriert
26 März 2015
Beiträge
5.931
Ort
FFM (NSFW)
Safe Screen? Ist das diese Windows-Funktion, auf der auch die UAC liegt? Dann kann das durchaus helfen, da soweit ich weiß kein anderes Programm als das Aufrufende darauf zugreifen kann. Da kenne ich mich mit Windows leider zu wenig aus.
 

theSplit

1998
Veteran Barkeeper

Registriert
3 Aug. 2014
Beiträge
28.560
Also ich fasse es mal kurz für mich zusammen was ich erwarten würde von dem Projekt:

Ein Webinterface mit Login + Passwortverwaltung + Benutzerverwaltung + Passwörter für Master-Zugang (frei definierbarer Admin-User (custom name)) und Verwaltung von Schlüsseln zu Usern. Ein Browserplugin für Firefox und Chrome, welche in der Lage sind auf eine PHP Schnittstelle zuzugreifen, welche nach validierung der Daten einen verschlüsselte (evtl. keine 1 zu 1 Kopie aus der DB) an das Plugin sendet - welches diese im RAM entpackt und entschlüsselt (keine Datei), welches diese entschlüsselt - das mit validierten Bibliotheken/Komponenten in und aus PHP/der Javascript Welt - wahlweise mit Import/Export aus/nach Keepass über das Webinterface. Ein Log mit 72 Stunden sollte Zugriffe protokollieren, zum Beispiel letzten Ziffern zwei Blöcke der IP Adresse und der User Agent von dem aus zugegriffen wird/wurde. Oder da wir das System "selbst" hosten, auch ganze IPs. (Könnte man über eine Option steuern) - außerdem könnte PHP eine Backup/Import Funktion über die API von Dropbox durchführen die pro User Account gesetzt werden kann.
Um die Sicherheit noch weiter zu erhöhen, könnten zum Beispiel auch für User Accounts statische IPs zugewiesen werden, von denen das Browser-Plugin zugreifen kann, im Falle von statischen IPs oder nach einem Teil des User-Agents oder eine Kombination aus beidem - als Zusatzoption(en). Oder eine Reihe von IPs/User Agents. Oder auch die Optionen einen User zu sperren - aber das wäre so eine Sache, nice to have, aber nicht zwingend.

Warum?
Alles passiert im Browser, das heißt ich bin nicht durch eine Datei gebunden die dann an mehreren Standorten verfügbar sein muß, ich habe eine Verwaltungsoberfläche und kann von dort die Passwörter / Zugänge verwalten/einsehen/bearbeiten und durch die Plugins brauche ich nur das Plugin zu installieren, einen Usernamen eintragen, die URL auf der die API liegt, ein Passwort für eine Session einmalig eingeben und dann nur noch ähnlich wie bei Secure Login die Felder ausfüllen lassen und evtl. je nach Option oder Seiteneinstellung das Absenden des Formulars "automatisieren" lassen - was in einer lokalen SQLite innerhalb des Browsers gespeichert wird als Seitenspezifische Option.

Warum das andere nicht?
Weil wir hier von Software reden die erst lokal installiert werden muß und somit wird "ein Klon" der Daten angelegt, das gibt redundanz - das kann ich vieles Fällen gut sein, daher auch eine mögliche Exportoption "für" Zuhause und ein Backup auf der Arbeit - aber ich will die Daten von überall nutzen können, ohne etwas zu installieren außer ein 3 Klick Browserplugin und die Eingabe der URL des Skripts auf das ich so zugreifen will (frei definierbar).

Vorteile:
- Javascript funktioniert in allen Browser, nur das Speichern von Daten funktioniert mutmaßlich vielleicht nicht alles über SQLite wie in Firefox
- Online Verfügbarkeit - eine zentrale Stelle und wirklich frei definierbare "Backups"
- Verbreitung von PHP und mySQL/Passwortdateien - kann auf jedem belieben Webspace laufen und verwendet werden und benötigt keine spezielle Konfiguration
- Kann sogar auf dem eigenen Home PC mit XAMP, MAMP, LAMP oder eigene Installationen eines Webservers + Datenbank/Dateien installiert werden, falls man einem Hoster nicht traut
- PHP könnte auch mit der API von Dropbox kommunizieren und Daten dort ablegen/laden, wenn gewünscht
- Option auch von einem Mobilgerät darauf zuzugreifen.

Wenn ich Accounts von zuhause oder als Admin oder whatever auf der Arbeit verwende, brauche ich die Passwörter nicht unter meinem normalen Usernamen zuhause, daher bekomme ich über das Plugin wirklich nur Zugriff auf den User, der gerade auch nicht wichtig/relevant für mich ist und andere Passwörter werden gar nicht erst angerührt.
 

KaPiTN

♪♪♫ wild at heart ♪♫♫♪

Registriert
14 Juli 2013
Beiträge
29.138
Warum das andere nicht?
Weil wir hier von Software reden die erst lokal installiert werden muß und somit wird "ein Klon" der Daten angelegt, das gibt redundanz - das kann ich vieles Fällen gut sein, daher auch eine mögliche Exportoption "für" Zuhause und ein Backup auf der Arbeit - aber ich will die Daten von überall nutzen können, ohne etwas zu installieren außer ein 3 Klick Browserplugin und die Eingabe der URL des Skripts auf das ich so zugreifen will (frei definierbar).

Keepass muß nicht installiert werden und bietet standardmäßig Support für Zugriff auf Dateien über FTP, HTTP und WebDAV. Es gibt Addons für SCP, SFTP, FTPS oder für Amazon, Dropbox und weitere.
Ob da eine lokale Kopie angelegt wird, sollte man vielleicht erst einmal prüfen.

Passwörter für den DSL-Zugang und den Router sollte man vielleicht auch lokal haben. ;)

Addons für Autofill/Browserintegration gibt es ebenfalls bereits.

Aber selbst wenn mir noch einer den Mehrwert erkläre kann, stelle ich dennoch die böse Frage nach dem Bedarf und der möglichen Nachfrage.
Denn so wie sich das liest, wäre das ein echtes Projekt und bedürfte nicht zu knapp Zeit und vor allem Motivation.
Das wäre ja kein Rumspielen wie Der ngb-Song - komplett von Usern erstellt (gab es da mal so etwas wie eine gemeinsame Fassung?)

Auch bei den Programmieraufgaben war immer viel Strohfeuer. Und diesem Fall könnte später mehr als mal ein halbes Wochenende in den Sand gesetzt sein, wenn das ein Rohrkrepierer würde.

Das sollte meiner Meinung im Vorfeld geklärt werden.

Sry, wenn ich hier wieder den Miesepeter gebe. Aber afaik machen hier doch einige IT beruflich, und da würden solche Fragen doch auch gestellt werden.
 

theSplit

1998
Veteran Barkeeper

Registriert
3 Aug. 2014
Beiträge
28.560
Keepass muß nicht installiert werden und bietet standardmäßig Support für Zugriff auf Dateien über FTP, HTTP und WebDAV. Es gibt Addons für SCP, SFTP, FTPS oder für Amazon, Dropbox und weitere.
Ob da eine lokale Kopie angelegt wird, sollte man vielleicht erst einmal prüfen.

Selbst eine portable Installation muß ja erst einmal vorhanden sein, ein Browser-Plugin ist vermutlich mit wenigen Klicks installiert, wenn es dann erst mal offiziell ist bzw. direkt (unsicher) über das Webinterface installiert werden kann das selbst gehostet wird. Das mit der lokalen Passwortdatei wäre aber definitiv zu prüfen!
Ob man dann noch die Plugins für SCP, SFTP, FTPS, FTP, benötigt, eigentlich nicht, da das Problem mit einer Datei durch die Online-Verfügbarkeit geklärt wäre. Ob und wie man Amazon oder andere Anbieter einbauen kann, würde in diesem Fall an PHP/Javascript stehen oder fallen.
Man sollte sich aber dann halt bewusst sein das wir hier keine "Desktop" App haben (was ich skizziere) und dabei etwas andere Regeln gelten, als wenn ich eine Websoftware habe die mit PHP rennt. Wenn es für PHP aber Module gibt für SCP, FTP... ja warum auch nicht.

Passwörter für den DSL-Zugang und den Router sollte man vielleicht auch lokal haben. ;)

Dafür wäre dann ja ein Import/Export für nach Keepass oder ähnlichem gedacht, dann könnte man das beste aus beiden Welten kombinieren. So fern das so einfach Möglich ist.

Addons für Autofill/Browserintegration gibt es ebenfalls bereits.

Mag sein, aber in diesem Fall nicht für das eingekreiste System und dessen "Features".
Man kann auch gerne an Keefox arbeiten - aber ich wäre trotzdem für einen Online-Passwordstore um von Software wegzukommen.

Aber selbst wenn mir noch einer den Mehrwert erkläre kann, stelle ich dennoch die böse Frage nach dem Bedarf und der möglichen Nachfrage.

Es ist wie ich es für mich als Basis sehen würde, mein Use-Case, aber eine vielleicht mögliche Richtung.

Denn so wie sich das liest, wäre das ein echtes Projekt und bedürfte nicht zu knapp Zeit und vor allem Motivation.
Das wäre ja kein Rumspielen wie Der ngb-Song - komplett von Usern erstellt (gab es da mal so etwas wie eine gemeinsame Fassung?)

Auch bei den Programmieraufgaben war immer viel Strohfeuer. Und diesem Fall könnte später mehr als mal ein halbes Wochenende in den Sand gesetzt sein, wenn das ein Rohrkrepierer würde.

Motivation resultiert ja auch unter anderem daraus, das man sich im Vorfeld, wie du selbst so schön sagst, genau abgesteckt was man machen will, welche Dinge dabei einfließen und wenn man kleine Meilensteine mit Teilen eines Puzzles die Stück für Stück zusammenkommen, würde ich behaupten.
Aber dazu muß der Umriss bekannt sein und ein konkretes Ziel was man haben will. So lange die Frage nicht geklärt ist, macht doch jeder was er will und für "richtig" hält...

Das sollte meiner Meinung im Vorfeld geklärt werden.

Ja, aber das kann man nur klären, meiner Meinung nach, wenn jedem ersichtlich und logisch ist, woran gearbeitet wird oder was dabei herauskommen soll, das habe ich ja für (einen/meinen) Fall versucht zu skizzieren.
Ich meine damit nicht das die Idee 1 zu 1 so übernommen wird - es ist nur meine erste Idee, aber worauf ich natürlich baue, das andere hier das genau so sehen.

Sry, wenn ich hier wieder den Miesepeter gebe. Aber afaik machen hier doch einige IT beruflich, und da würden solche Fragen doch auch gestellt werden.

Klar, ein Projekt muß geplant werden, aber es muß auch konkretisiert werden - ohne nen richtigen Laufweg sprinten alle irgendwo hin, ohne irgendwo anzukommen und zu sagen "Feature X" ist fertig, die GUI für das Plugin steht, wir brauchen Funktion Y, ein Konfigdialog ist gestaltet oder was auch immer man für Aufgaben hat.
Je mehr kleine aber auch konkrete Aufgaben man hat, desto besser ist die Situation für alle, weil nicht einer alles macht, sondern jeder einzelne Bausteine die ein großes Ganzes ergeben.

Nur wie gesagt, darüber muß man im Vorfeld sprechen, gebe ich dir zu 100% recht.
 

sia

gesperrt

Registriert
26 März 2015
Beiträge
5.931
Ort
FFM (NSFW)
Und was hält uns davon ab, das Browserplugin über SFTP zu machen, wie ich vorgeschlagen hatte?

Eine komplette Userverwaltung mit mehreren Schlüsseln zur selben Datenbank würde eine Speicherung des Schlüssels in der Datenbank nötig machen, der dann mit dem jeweiligen persönlichen Schlüssel noch einmal verschlüsselt wird. Halte ich für unpraktikabel – sobald ein Key geknackt wurde, müssen alle anderen ihre Passwörter auch ändern. Auch das "herausziehen" der einzelnen Passwörter in eine lokale SQLite-DB finde ich sicherheitstechnisch bedenklich, da ein unvertrauenswürdiger Browser diese dann logischerweise mitschneiden könnte.

Ein synchrones Bearbeiten der Datenbank fällt ebenfalls flach, das Einzige was man da machen könnte wäre die Funktion wie in KeePassXC, dass die Datenbank bei Änderungen in der Datei (auch remote) neu geladen wird. Das würde dann halt bei jeder Änderung ein paar hundert KB für den Transfer der DB benötigen, was ich persönlich bei mobilen Verbindungen nicht möchte.

Daher würde ich die Datenbank eher mit einem externen Tool synchron halten, also wie schon angemerkt Nextcloud oder Syncthing. Oder eben wie über SCP.
 

theSplit

1998
Veteran Barkeeper

Registriert
3 Aug. 2014
Beiträge
28.560
Auch das "herausziehen" der einzelnen Passwörter in eine lokale SQLite-DB finde ich sicherheitstechnisch bedenklich, da ein unvertrauenswürdiger Browser diese dann logischerweise mitschneiden könnte.

Genau das soll eben nicht der Fall sein, das Plugin soll sich ein einziges Passwort requesten bzw. eines anfragen, abholen / sich verifizieren für die Dauer einer Session, und dann ein Passwort (noch verschlüsselt übertragen) in den RAM laden und von dort aus entschlüsseln mit dem eingegeben Passwort. Man könnte auch eine Option setzen dass das Passwort nur einmalig und nicht nur für die Session bestand haben soll, oder das Passwort aus dem SQLite zu löschen.

Das einzige was ich gerade dachte, was in einer lokalen SQLite gespeichert werden sollte, Seitespezifische Settings wie ob man nach dem Autofill (nach Click auf ein Icon) einen automatischen "Senden"/Submitt machen will, mehr aber auch nicht, das macht zum Beispiel Secure Login.

Kann man über Javascript (Browser-Addon) SFTP nutzen? Ich glaube nicht.
Aber solche Details weiß man doch auch erst, wenn die Technologie dafür ersichtlich ist, aber darum hab ich ja eine Idee skizziert.

Man könnte das Admin Passwort auch verschlüsselt in eine Datei, außerhalb der Datenbank speichern. Und auch von dort wieder auslesen. Dann wäre bei einem Database Dump zumindest der "Salt" und das Admin Passwort sicher. Und die Daten somit erstmal "wertlos", außer es folgt ein Zugriff auf die Datei.
 
Zuletzt bearbeitet:

sia

gesperrt

Registriert
26 März 2015
Beiträge
5.931
Ort
FFM (NSFW)
Kann man über Javascript (Browser-Addon) SFTP nutzen? Ich glaube nicht.

doch:

Wenn es nur um Browser-Logins geht: Warum nicht Firefox Sync?

Ich könnte mir vorstellen, dass ein Browser-Plugin über paramikojs auf einen SFTP-Server zugreift. Dort könnte dann die KeePass-Datenbank liegen. SFTP ist verschlüsselt und die Entschlüsselung der Datenbank kann im Browser-Addon-Code vonstatten gehen. Die Userverwaltung ist bei SFTP ja bereits gegeben.
 

LadyRavenous

in Schwarz
Teammitglied

Registriert
26 Dez. 2016
Beiträge
16.079
Ort
hello world
@phre4k: Ich würde mich nicht nur auf Firefox beschränken, da es auch Leute mit Chrome/Vivaldi z.B. gibt, was die Sache leider etwas komplexer gestaltet.
 

theSplit

1998
Veteran Barkeeper

Registriert
3 Aug. 2014
Beiträge
28.560
@phre4k:

Okay, aber da gibt es dann ja auch wieder eine kleine Einschränkung, scheinbar:

Aus deinem Link zu paramikojs:
Note!

[...] Being able to make an SSH connection only works currently in the context of a Firefox add-on which gives provides extra libraries/permissions (i.e. ahem, sockets)

Also so wie ich das verstehe, nur Firefox dann?

Auch weiß "ich" nicht ob 90% der Leute hier SFTP nutzen würden um ihre Passwörter verwalten zu lassen. Mir erschließt sich nicht ganz der Sinn hinter dieser Technologie um ehrlich zu sein.

Also willst du dir die Daten doch immer wieder auf einen anderen Rechner laden, der kompromentiert werden könnte?
Und haben viele non-admins SFTP im Einsatz?

Ich würde einfach einen Passwortrequest senden, und ein verschlüsseltes Passwort, nicht die gesamte Datenbank, übertragen. Wäre jedenfalls meine Idee. Daher der Zugriff auf eine PHP Schnittstelle. ;)
 
Zuletzt bearbeitet:

sia

gesperrt

Registriert
26 März 2015
Beiträge
5.931
Ort
FFM (NSFW)
Kannst ja mal programmieren und wir sehen, wie das läuft :)

Ist halt nur wirklich sicher mit SSL. Und haben viele non-admins SSL im Einsatz?
 

theSplit

1998
Veteran Barkeeper

Registriert
3 Aug. 2014
Beiträge
28.560
@phre4k: Ich weiß gar nicht ob und wie Javascript über den Browser mit SSL Seiten umgeht, das müsste ich auch selbst herausfinden. Wenn der Browser genutzt wird, sollte eigentlich einer SSL kommunikation über einen Ajax Request nichts im Wege stehen, aber so etwas lässt sich bestimmt herausfinden.

Es geht ja nicht darum das ich das programmiere. Es ging mir wie gesagt darum, wie würde so etwas den genutzt werden und das auch so das es in mehreren Oberflächen läuft und nicht nur unter einer Platform. Ich bin selbst Firefox User - aber was hilft es einem Chrome User.

Das mit dem (S)FTP - könnte man vielleicht auch irgendwie über PHP einbinden um dort "Passwörter zu importieren?" - aber braucht man das dann noch?

Was soll das SFTP denn machen? - Eine Datei von A nach B übertragen, also in den Passwort Manager für die "Offline-Verwendung", das verstehe ich gerade nicht! ;)
 

HoneyBadger

Aktiver NGBler

Registriert
7 Sep. 2015
Beiträge
1.956
Hier noch 'ne Info für euch, die mir bei dem PassIFox bereits nach kurzer Nutzung extrem auf die Nerven geht. Es ploppt ständig oben eine Leiste auf, die mir sagt, dass KeePass nicht aktiviert ist. Da fällt mir nur ein: "JA VERDAMMT! Ich weiß, dass ich´s nicht angemacht habe!!!!!!111ellf"
Was auch immer ihr baut, bitte nicht so etwas.
 

drfuture

Zeitreisender
Teammitglied

Registriert
14 Juli 2013
Beiträge
8.728
Ort
in der Zukunft
  • Thread Starter Thread Starter
  • #76
Das Problem an sftp ist das das über die meisten (größeren) Unternehmensnetzwerke nicht erreichbar ist.
Auch über div. öffentliche W-Lan Hostspots nicht.
Mit lokaler Software egal ob installiert oder nicht muss ich zumindest die Software ausführen können und / oder einen usb-stick einstecken können.

Das Plugin war bei meiner Idee für den Anwender Optional, das heißt in der "Not" soll man durchaus auch nur über den Browser an seine Passwörter kommen können.

*Irgendeine* Schwäche haben Passwortmanager leider immer - Klar ist ich muss dem Gerät in gewisser Weise vertrauen, auf einem beliebigen Rechner im Urlaub in der Lobby ist das vielleicht erstmal keine gute Idee. Das Problem habe ich aber auch mit anderen Passwortmanagern die man dann entweder schon gar nicht nutzen kann - oder eine kompromitierung nicht zu 100% ausgeschlossen werden kann und dann das Passwort bei der Eingabe geloggt wird - oder wie ein schönes "Feature" bei KeePass (war sehr lange Zeit im Standard aktiv, inzwischen nicht mehr) das nach einer im UserProfil liegenden "Config" gesucht wurde in die man sowas nettes reinschreiben konnte wie "Beim Start der Anwendung gib alle Passwörter in das Logfile %temp% aus...

Da kann die Verschlüsselung, die Passworteingabe, das Kopieren in die Zwischenablage usw. noch so Sicher sein...
Daher sollte man sich definitiv Gedanken um ein Konzept machen und um die Sicherheit der Passwörter - aber ein 100% Sicher vor allem wenn der PC auf dem man die Passwörter verwendet befallen ist - wird .... schwer. Daher ist es vielleicht für den Anfang Sinnvoller nicht von vermeintlich 100%iger Sicherheit auszugehen.

Das das ganze zu Keepass kompatibel sein soll finde ich nach wie vor eine sehr gute Idee.
Die aktuell erhältlichen vorhandenen Softwareprodukte oder Lib's schaue ich mir vermutlich dieses Wochenende noch einmal an.
Was es am Markt allgemein gibt und was es am Markt eben nicht gibt hatte ich schon mehrfach genauer angeschaut - ich wollte ja durchaus nicht den 20. Klone von etwas vorschlagen.

LastPass um noch mal zum Starter zurück zu kommen ist denke ich nicht ohne Grund ziemlich beliebt - aber eben Kommerziell und Properitär.
 

theSplit

1998
Veteran Barkeeper

Registriert
3 Aug. 2014
Beiträge
28.560
Das Plugin war bei meiner Idee für den Anwender Optional, das heißt in der "Not" soll man durchaus auch nur über den Browser an seine Passwörter kommen können.

Das wäre auch mein Gedanke dahinter. :)

Da kann die Verschlüsselung, die Passworteingabe, das Kopieren in die Zwischenablage usw. noch so Sicher sein...

Mir fällt folgendes zur Zwischenablage ein, sagen wir mal ich habe das Browser Plugin installiert... - das Plugin bekommt einen Token von der API, nach Anmeldung mit einem "Token-Passwort", was nicht auf dem Benutzerpasswort für den Account basiert oder zum entschlüsseln verwendet wird.

Dieser Token wird mir dann im Plugin angezeigt, ich kann diesen kopieren und mich damit "alternativ" in das Webinterface anmelden - dann wird mir für eine Seite ein Passwort angezeigt die gerade aktiv ist (Domainname, Subdomain der besuchten URL vom Plugin übermittelt und der Token ausschließlich für diese Domain generiert) für meinen Benutzeraccount, mehr aber auch nicht.
Kopiere ich nun ein Passwort in die Zwischenablage, wird dieses verschlüsselte Passwort in die Zwischenablage kopiert. Dann kann ich diesen Code via Kopieren und Einfügen, von dem Plugin entschlüsseln lassen.

Das heißt wenn jemand etwas mitschneidet, wäre es nur der Token für den Login und ein verschlüsseltes Passwort was in die Zwischenablage kommt. - Schneidet ein Angreifer der Token mit, hat er höchstens(!) ein Passwort - das setzt aber auch Voraus, dass die URL zu der API auch bekannt geworden ist.

Ist ziemlich komplex für den User, aber so wäre schaden "minimiert", im Falle jemand schneidet etwas mit. Und es würde nie ein Passwort im Klartext in der Zwischenablage, höchstens im RAM und dann beim Absenden auf der Webseite.

Keine Ahnung, fällt mir nur spontan dazu ein, wie man das System (etwas) sicherer machen könnte.
 

sia

gesperrt

Registriert
26 März 2015
Beiträge
5.931
Ort
FFM (NSFW)
Sicher, dass Port 22 nach außen (!) geblockt ist? Würde mich stark wundern. Spätestens Port 80 für Nextcloud ist aber offen.

Und die Lösung mit Tokens und Copy+Paste und solchem Krams ist viel zu komplex. LastPass ist das nicht.
 

theSplit

1998
Veteran Barkeeper

Registriert
3 Aug. 2014
Beiträge
28.560
@phre4k: Es ging ja auch nur um die Idee, wie man verhinden könnte das bei einem Keylogger das ganze Passwortsystem komprementiert werden würde. Darauf sollte sich das beziehen.

Aber wurde hier schon geschildert wie es LastPass löst? - Würde mich interessieren und welche Platform?
 

BurnerR

Bot #0384479

Registriert
20 Juli 2013
Beiträge
5.504
Mir ist komplett unklar, wer das alles am Ende eigentlich programmiert.
Habe gerade so den Eindruck dass frei philosophiert wird, aber letztendlich wird niemand ernsthaft Code produzieren.
'Irgendwer' sollte mal Bildchen / UML Diagramme /.. produzieren von mir aus mit Versionierung für fixe Zustände, sonst wird in 5 Seiten zum dritten mal über das selbe gesprochen.
Dann kommt eine Machbarkeitsüberlegung, also ob das so überhaupt sicher umsetzbar ist und frühestens danach thread modelling.

Für contribution zu nem KeePass Projekt reicht ja, wenn man sich darüber austauscht, wer welchen Bug/Feature mal anschaut und angeht, aber für ein neues Projekt müsste man mMn bald über die 'wir philsophieren ein wenig über das Programm' Phase hinaus kommen und was produzieren (nicht code).
 
Oben