[CryptoParty] [keepass][firefox] keefox addon

[Ralph Wozelka]

On 2015-03-05 10:49, Gernot Tutner wrote:
> Am 04.03.2015 um 14:59 schrieb Ralph Wozelka:
> https://addons.mozilla.org/en-US/firefox/addon/keefox/
>>
>> macht den zugriff auf die logindaten für website-anmeldung so einfach,
>> wie der integrierte firefox-eigenen passwort-safe :-)
> 
> Find ich super, aber macht KeePass potentiell unsicherer. Also würd ich
> für Browser-Passwörter eine neue KeePass-Datenbank anlegen. Und dann
> frag ich mich, ob ich nicht gleich beim Firefox Passwortmanager mit
> Masterpasswort bleiben soll.

Bequem.
Aber unsicherer, stimmt.
So unsicher wie ein User korrekt KeeFox bei KeePassRPC authentisiert
bzw. Firfox ein gezielt gebautes Malware-Addon installiert hat.


Die Schnittstelle zu KeePass ist durchaus überlegt (SSL über RPC,
regelmäßiges Authentisieren an der API mittels generierter
random-keyphrase).
http://keefox.org/news/detail/2010/12/11/keepassrpc-security-and-authentication/

-> Ich kenne die Architektur von Firefoxens Plugin-Interface nicht, aber
auch wenn die Passwörter sicher bis zu KeeFox durchkommen, müsste es ja
trotzdem möglich sein, die gesamte DB auszulesen, indem man das Addon
automatisiert ansteuert.
Dazu hab ich nix gefunden auf die schnelle :-/

-> Keylogger können nicht ran. Die Strings werden einfach direkt in die
Forms eingefügt.


g r

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 836 bytes
Beschreibung: OpenPGP digital signature
URL         : <http://lists.mur.at/pipermail/cryptoparty/attachments/20150305/26f17041/attachment.sig>