Alex' blog (Artikel mit Tag firefox)

Fritz!BoxDial Wählhilfe und Firefox 3

nospam@example.com (Alex) — Mon, 07 Jul 2008 13:55:00 +0200

Oben: FF2 Unten: FF3

Für die Firefox-Versionen 1.5 und 2.0 gibt es für Besitzer der Fritz!Box eine nette Extension namens Fritz!BoxDial, die Ähnlichkeiten zur Extension von Skype aufweist. Wenn man eine Telefonnummer auf einer Webseite markiert, kann man im Kontextmenü einen Anruf über die Fritz!Box veranlassen und auf dem normalen Telefon telefonieren. Man muss also die Nummer nicht erst abtippen.

Leider funktioniert die Extension mit Firefox 3 nicht mehr.
Eine kurze Analyse hat gezeigt, dass der neue Zwang zur Angabe eines Charsets im Header für einen XMLHttpRequest (XHR) für Probleme seitens der Fritz!Box sorgt. Diese kann mit dem charset=... nichts anfangen und verweigert ihren Dienst.

Selbst wenn man explizit keine charset-Angabe in der Methode requestHeader() macht, so wie es die Extension auch tut, setzt Firefox 3 nun standardmässig das Charset rein (auf UTF-8).

Hat irgendjemand eine Idee, wie man Firefox 3 von diesem Zwang befreien kann ?

Firefox 3 ist fertig

nospam@example.com (Alex) — Wed, 18 Jun 2008 16:05:00 +0200

Firefox 3 ist nun fertig und daher habe ich das u.a. zum Anlass genommen, um meinen RC 2 auf die finale Version upzudaten.

Da ich heute früh endlich Windows Vista auf dem Acer Aspire 7520G entfernt habe und nun Windows XP (für knapp 67 EUR) auf dem Laptop seine Arbeit anstandslos verrichtet, habe ich mich gleich an die Installation von Firefox 3 gemacht. Gut, dass auf dem schnelleren Laptop der langsame Firefox nicht so sehr auffällt. Evtl. ist das vor ein paar Tagen beschriebene Problem gar nicht existent ...

Daher habe ich zweimal beim Download Day mitgemacht und spaßeshalber habe ich mir auch ein "Zertifikat" dafür ausgestellt.

Wer beim Download Day und dem damit verbundenen Eintrag ins Guinness Buch der Rekorde mitmachen will, der hat nach MESZ noch bis heute 19:00 Uhr Zeit dazu.

Nachdem bei mir aber vieles nicht mehr anständig funktioniert, seitdem ich den Firefox 3 mit einer der verfügbaren Beta-Versionen installiert habe, muss ich wohl oder übel ein neues Profil erstellen und sämtliche Werte, die ich von Hand angepasst habe, erneut anpassen. ~~Das wird wieder viel Arbeit ...~~

Update: Oder auch kaum Arbeit, wenn man die Datei prefs.js zur Hilfe nimmt.

Firefox 3 ist langsam und verursacht CPU-Auslastung von 100%

nospam@example.com (Alex) — Wed, 11 Jun 2008 18:22:00 +0200

Wessen Firefox 3.0 RC2 ist ebenfalls eine Schnarchnase ?

Massig Berichte von Ubuntu-Anwendern bzgl. eines sehr langsamen Firefox (Beta 5) mit 100% CPU-Auslastung habe ich schon genug gelesen. Angeblich hilft hierbei bei dem ein oder anderen das Abschalten der neuen Funktionen "Hinweis anzeigen, falls die besuchte Webseite als attakierende Webseite eingeschätzt wird" und "Hinweis anzeigen, falls die besuchte Webseite als Betrugsversuch eingeschätzt wird", sowie das anschließende Löschen der Datei urlclassifier3.sqlite im Profil.

Hilft bei mir aber überhaupt nicht. Weder unter Windows, noch unter Linux. Ein parallel installierter Firefox 2.x ist nicht existent und das Erstellen eines neuen Profils hilft auch nicht weiter.

HTTP Auth Probleme mit Mozilla Firefox 3 Beta 5

nospam@example.com (Alex) — Mon, 21 Apr 2008 10:59:00 +0200

Seitdem ich etwas an der neusten Firefox-Version aus der Zweier-Reihe verzweifelt bin, habe ich den Schritt zur neusten Beta-Version der Dreier-Reihe gewagt. Leider hat es an meinem Problem nicht wirklich etwas verbessert (Änderung an Dateityp => Aktion).

Dafür hat mir die neue Version gleich ein neues Problem beschert: wenn man ein Bookmark zu einer Webseite anlegt, die vor dem eigentlichen Abruf erst mittels HTTP Auth Logindaten bearbeitet werden muss, und diese in der Form:

https://benutzername:passwort@example.com/pfad

eingibt, so funktioniert dies in der neusten Beta leider nicht mehr automatisch. Jetzt muss man sie wieder händisch eingeben. (Vielleicht betrifft dies neuerdings auch nur SSL-verschlüsselte Verbindungen. Unverschlüsselte habe ich nicht getestet.)
Hoffentlich bleibt diese Einschränkung nur bis zur Final. Es war doch recht bequem.
(Ja, auch unsicher, solange man keine anderen Vorkehrungen trifft.)

Leider ist dies bei HTTP/HTTPS auch nicht über ein RFC standardisiert, sondern nur bei FTP. Trotzdem machen es alle Webbrowser, die mir so einfallen, dennoch richtig.

Firefox 3.0 und CAcert-Probleme

nospam@example.com (Alex) — Sat, 22 Mar 2008 22:10:00 +0100

Ich habe mir vor einigen Tagen die neuste Vorab-Version von Firefox 3.0 angeschaut. Die Neuerung "ausführliche Zertifikatsfehlermeldungen" ist immer noch enthalten.

Das gibt, wie ich hier schon einmal erwähnt hatte, auf jeden Fall Probleme für Betreiber von Webseiten mittels CAcert-Zertifikat (oder einem self-signed Zertifikat).

Da der Nutzer nicht mehr zur Interaktion gezwungen wird, wie eins mit dem Dialogfeld, dessen Voreinstellung das temporäre Erlauben der Webseite gewesen wäre, werden sicherlich viele Nutzer die Webseite verlassen, bevor sie sie richtig aufgesucht haben.

Da CAcert als CA auch im Firefox 3.0 noch nicht dabei sein wird (abgesehen von einigen Linux-Distributionen, die CAcert als CA gleich dazupacken), werden meiner Ansicht nach viele Nutzer aus Sicht des Betreibers einer Webseite ausgesperrt werden. Andererseits ist es eine ausführliche Warnung natürlich besser für die Sicherheit.

Wenn ein Nutzer nun das Zertifikat akzeptieren will (egal ob temporär oder permanent), so durchläuft er folgende Screenshot-Abfolge:

Schritt 1:

Schritt 2:

Schritt 3:

Schritt 4:

Anzahl nötiger Klicks bei permanenter Annahme des Zertifikats: 4
Anzahl nötiger Klicks bei temporärer Annahme des Zertifikats: 5

Zudem hat sich die Voreinstellung für die Annahme des Zertifikats unbekannter CAs geändert: die neue Voreinstellung ist "permanent". Nicht mehr "temporär".

Cross Domain Basic Auth Phishing Tactics 3.0

nospam@example.com (Alex) — Thu, 03 Jan 2008 15:25:00 +0100

Heute häuft es sich ja richtig mit den Einträgen zur Unsicherheit von Webbrowsern ...

Das nächste, was ich entdeckt habe, ist, dass Firefox-Benutzer, die die Extension "FasterFox" installiert haben, um sich mittels Prefetching von statischen Webseiten einen Geschwindigkeitsvorteil zu sichern, leichter bei XSA-Angriffen über das Ohr gehauen werden können, als Firefox-Benutzer, die auf "FasterFox" verzichten.

Um in beispielsweise einem Forum jemanden mittels Phishing über das Ohr zu hauen, verwendet man sonst üblicherweise HTML oder BBCode, um ein (nicht existentes) Bild in den eigenen Beitrag einzubinden. Das Verzeichnis, wo das (nicht existente) Bild liegt, wird zudem mit HTTP-Auth abgesichert.

Falls nun in einem Forum zur Absicherung HTML-Quellcode bzw. BBCode zur Einbettung von Grafiken deaktiviert wurde, ist dieser Angriff nicht möglich. Wer jedoch die Extension "FasterFox" installiert hat, der kann hier dennoch Opfer eines Phishing-Angriffs werden.

Wenn der Angreifer in dem Forum Links direkt eingeben kann (z.B. über BBCode) oder reiner Text auf gültige URLs automatisch geparst wird, der bekommt diese Links dank besagter Extension im Voraus geladen. Die Folge davon ist, dass sich nur beim Besuch einer solchen Webseite mit einem Link auf einen Bereich, geschützt durch HTTP-Auth, im Firefox der übliche HTTP-Auth Dialog erscheint und um Eingabe der Logindaten bittet.

Wer dies mit installierter "FasterFox"-Extension ausprobieren möchte, der klickt bitte einmal hier: http://ha.ckers.org/blog/20070608/cross-domain-basic-auth-phishing-tactics/
(Dies funktioniert ebenfalls nur für kurze Zeit, da ich bald die .htaccess-Datei von testing.bitsploit.de wieder entfernen werde.)

Update: RSnake fand es auch eine Erwähnung wert.

Spoofing-Schwachstelle im Webbrowser Firefox

nospam@example.com (Alex) — Thu, 03 Jan 2008 11:47:00 +0100

Aviv Raff hat eine neue Spoofing-Schwachstelle in der HTTP-Auth Authentifizierung im Webbrowser Firefox gefunden.

Details zur Lücke hat er bislang nicht veröffentlicht. Nur einen Screenshot der Authentifizierungs-Dialogbox.

Hiermit veröffentliche ich ebenfalls nur einen Screenshot einer (weiteren !?) Spoofing-Schwachstelle, die aber ausschließlich durch den Benutzer zustande kommt.
Ob es letztendlich der gleiche Fund ist, wird sich nach einer detailierteren Beschreibung Raffs zeigen.

Leider macht einem der deutsche Satzbau in Firefox einen Strich durch die Rechnung. Wer nun einen geschickten deutschen Satz zusammenbekommt oder nur auf die englischsprachige Firefox-Version setzt, hat keine weiteren Probleme. So ist der Satzbau noch fehlerhaft - spaßeshalber habe ich Raffs Realm 1:1 übernommen. Eigentlich ist das von der Schwierigkeit her eine "0815-Lücke", die sowohl bei Basic- als auch Digest-Authentifizierung funktioniert.

Wer es selber einmal ausprobieren will: http://testing.bitsploit.de
(Nur für kurze Zeit verfügbar.)

Firefox-Extension: InFormEnter

nospam@example.com (Alex) — Tue, 11 Dec 2007 23:36:00 +0100

Eben bin ich über die Firefox-Extension "InFormEnter" gestolpert, welche eigentlich die Aufgabe hat vordefinierte Zeichenketten per Mausklick in jedes Formularfeld einfügen zu können. Dazu befindet sich neben jedem Feld ein Symbol über dieses dann die gewünschte Zeichenkette eingefügt werden kann. So lässt sich bequem die eigene Adresse oder Telefonnummer mittels Mausklick einfügen.

Jedoch kann man dieses Tool auch etwas zweckentfremden und Injection-Zeichenketten (SQL, JavaScript, etc.) abspeichern. So fällt das lästige Copy & Paste aus den eigenen Cheatsheets weg.

Meinen Blog-Eintrag "Hacken von Web-Applikationen mit Firefox-Extensions" habe ich dazu passend aktualisiert.

Neue Sicherheitsfeatures in Firefox 3.x

nospam@example.com (Alex) — Wed, 21 Nov 2007 22:01:00 +0100

Okay, eigentlich ist der Titel nicht ganz richtig, denn in diesem Beitrag werde ich mich ausschließlich mit den sichtbaren Features beschäftigen. Nicht sichtbare Features wie (das umstrittene) "HTTP-only"-Flag zeige ich hier nicht, sondern verweise auf das inoffizielle Changelog von den Mozilla-Entwicklern.

Die Screenshots lasse ich weitgehend einfach für sich selber sprechen:

Wie man sieht gibt es jetzt ziemliche Probleme für self-signed SSL-Zertifikate bzw. SSL-Zertifikate von CAcert. Da der Benutzer jetzt nicht mehr zu einer Interaktion gezwungen wird, werden vermutlich mehr Benutzer als vorher eine solche Webseite nicht (mehr) aufsuchen.

Normalerweise wird dem unbedarften Benutzer anhand des geschlossenen Vorhängeschloss-Symbols erklärt, dass die Webseite sicher ist. In Firefox 3.x wurde dieses Symbol aber hinter der URL in der Navigationsleiste entfernt. Das ist eine ziemlich schlechte Entscheidung wie ich finde. Zwar gibt es das Symbol wie schon in Firefox 2.x noch einmal in der Statusleiste, aber ich fürchte, dass dies dem ein oder anderen Benutzer nicht auffallen wird.
Wer auf das Symbol in der Statusleiste klickt, bekommt das gleiche Ergebnis zu sehen als hätte er auf das Favicon in der Navigationsleiste geklickt.

QuickReferrer Extension für Firefox 2.x

nospam@example.com (Alex) — Mon, 13 Aug 2007 00:19:00 +0200

Ich habe eine kleine Extension für den Firefox 2.x von Mozilla zusammengebastelt, welche das schnelle Ein- und Ausschalten der Übertragung des Referrers per Mausklick erlaubt.

Der Referrer (korrektes Englisch) bzw. Referer (falsches Englisch, aber stark verbreitet auf Grund eines Schreibfehlers im RFC 2068) kann über einen (momentan noch sehr hässlichen) Button, der frei in der Navigationsleiste platzierbar ist, nach Belieben ein- und ausgeschalten werden. So braucht man nicht immer umständlich mittels "about:config" den Referrer verändern.

Die Projektseite mit dem Download und einigen Erklärungen befindet sich hier: http://quickreferrer.projects.bitsploit.de

Updates to come ...

Wie man Firefox Daten entlockt

nospam@example.com (Alex) — Thu, 17 May 2007 13:53:04 +0200

Bislang funktioniert es leider nur lokal, aber dies lässt sich vielleicht noch abändern.
So wäre zumindest unter Windows möglich die Benutzernamen auszulesen und ein Fingerprinting der installierten Software vorzunehmen.

PoC:

<link rel="stylesheet" href="res%6Furce://..%5C" type="text/css" id="path">
<script>
alert(document.getElementById("path").sheet.href);
</script>

Update: So wie es aussieht wird der dieser Bug in Firefox 2.0.0.4 und 1.5.0.12 behoben sein.

Update 2: So funktioniert es auch von extern, anstatt nur lokal. Allerdings kann nur auf vorher bekannte Benutzernamen getestet werden, anstatt nur die vorhandenen auszulesen.

Cookies, Flash-Cookies, Super-Cookies, DOM Storage und XSS

nospam@example.com (Alex) — Fri, 11 May 2007 04:39:02 +0200

In Zeiten von XSS sieht man häufiger Beispiele, die Cookies an Angreifer verschicken. Das XSS weitaus mächtiger ist braucht wohl kaum erwähnt werden.

Dies klappt deshalb, weil Skript-Code (z.B. JavaScript) auf Cookies im eigenen Seitenkontext beliebig zugreifen darf. In der Spezifikation für Cookies gibt es noch einige Attribute, die man ihnen bei der Erstellung auf den Weg geben kann wie "secure" und die (sinnvolle) Erweiterung von Microsoft namens "HttpOnly".

Das Attribut "HttpOnly" bedeutet, dass Cookies nicht mehr länger über clientseitigen Skript-Code angetastet werden kann. Sonst bleibt alles beim Alten. (Der Vollständigkeit halber will ich das Attribut "secure" hier nicht unterschlagen: Es bedeutet, dass der Cookie nur über SSL- / TLS-gesicherte Verbindungen vom Browser verschickt werden darf.)

Gesetzt müssen die Attribute von der jeweiligen Web-Applikation werden und der Browser hat sich danach zu richten, sofern er damit umzugehen weiß.

Z.B. ist der Mozilla Firefox 2.x bislang nicht in der Lage HttpOnly-Cookies richtig zu behandeln. Die ersten Alpha-Versionen der Version 3.0 beherrschen dies aber endlich. Microsoft hat seit dem SP1 für den Internet Explorer 6.0 HttpOnly-Cookie-Behandlung in seinen Browser integriert.
Stefan Esser hat für den Firefox 2.x eine Extension namens httpOnly herausgebracht, die den Skript-Zugriff von Seiten des Browsers her unterbinden soll. (Tests von meiner Seite her stehen noch aus.)

Momentan beschäftige ich mich mit der Frage, wie man an solche Cookies dennoch herankommt.
ActiveX, JScript und Flash habe ich mir bislang nicht angeschaut, wobei ich auch vermute, dass zumindest JScript keinen Zugriff auf HttpOnly-Cookies bekommen sollte. Java-Applets dürfen von ihren Sicherheitsrichtlinien her nicht auf Cookies zugreifen, so dass man einer für XSS anfälligen Web-Applikation kein Java-Applet unterschieben zu braucht.
Über ein spezielles Package von Netscape (netscape.javascript.*) kann man aber von Java aus auf JavaScript-Objekte zugreifen. Im Moment bin ich dabei ein Java-Applet zu schreiben, welches über diese Art und Weise versucht die zuvor abgespeicherten Cookies auszulesen und auf dem Server abzulegen. Inwieweit diese alten Netscape-Klassen in neuen Browsern (außer Netscape und vielleicht Mozilla) noch funktionieren, wird sich zeigen. Unklar ist bislang auch noch, ob sich so der (angebliche) Schutz der Cookies aushebeln lässt, da sich letztendlich eigentlich doch nur wieder JavaScript an den Cookies vergreift.

Als Ergänzung zu dieser Sache ein Überblick über die verschiedenen Cookie-Varianten (siehe Titel).

Es gibt verschiedene Varianten zur Speicherung von Cookies und noch viel mehr Namen für sie.

Flash-Cookies werden, wie es der Name schon sagt, von Flash benutzt und liegen nicht im Benutzerprofil des verwendeten Webbrowsers. Auch werden sie nicht gelöscht, wenn man den Browser dazu auffordert. Genaueres dazu hier. Flash-Cookies werden auch gerne als Super-Cookies bezeichnet.

DOM Storage ist mehr oder weniger das, was ein üblicher Cookie ist. Der Unterschied besteht darin, dass der Cookie-Inhalt nun wesentlich größer ausfallen darf und das die Domain nicht mehr exakt mit der Ur-Domain übereinstimmen muss. Eine kurze Zusammenfassung befindet sich hier und wesentlich detailierter erklärt hier.
Dies war jetzt Mozilla bezogen, aber auch Microsoft hat nachgezogen. DOM Storage wird auch gerne als Super-Cookie bezeichnet.

View formatted source Extension Firefox 2.0 kompatibel machen

nospam@example.com (Alex) — Sat, 14 Apr 2007 02:33:11 +0200

Wer mit (X)HTML-Quellcode arbeitet, der möchte dies möglichst effizient tun und nicht den Code vor lauter Tags nicht sehen können. Daher wäre es schön, wenn man zusammengehörende Code-Abschnitte ausblenden könnte, um mehr Übersicht zu erlangen.

Wenn man den Mozilla Firefox einsetzt, so gibt es dafür die Extension namens "View formatted source". Diese Extension ist allerdings nicht mit Firefox 2.x kompatibel.

Wenn man nun auf den Trick zur Änderung der Versionsnummer zurückgreift (oder wenn man den Versionscheck von Extensions generell im Firefox deaktiviert), bekommt man eine nicht komplett funktionsfähige Extension. Der Inline-Modus funktioniert zwar, aber den Code in einer aufgeräumteren Ansicht anzuschauen ist nicht möglich, da der Firefox hier einen Fehler meldet.

Um die Extension dennoch unter Firefox 2.x benutzen zu können, muss man einige Zeilen aus einer Datei entfernen.

Als erstes muss man die Extension entpacken. Wenn man die Dateiendung XPI in ZIP umbenennt und danach entpackt, dann öffnet man die Datei "install.rdf" in einem Text-Editor seiner Wahl und ändert die Zeile:

<em:maxversion="1.5.0.*" />

in:

<em:maxversion="2.0.*" />

ab.
Als nächstes muss man noch, wie gesagt, einige Zeilen entfernen. Dazu muss man allerdings das "vpps.jar"-Archiv im Unterordner "chrome" entpacken. Wenn dieses Archiv entpackt ist, findet man unter dem Pfad "chrome\content\vpps" die Datei "window_v1.xul", welche man auch in einen Text-Editor lädt. In dieser Datei entfernt man nun zuerst die folgende Zeile:

Dann findet man fast ganz unten noch die folgenden Zeilen, die man ebenso entfernt:

Dann speichert man beide Dateien und packt die Archive erneut zusammen bzw. aktualisiert die Dateien darin.
Wenn man dann die Dateiendung von ZIP in XPI abändert und diese danach in das Add-Ons-Fenster vom Firefox per Drag'n'Drop zieht, geht die Installation los. Und dieses Mal funktioniert die Extension dann auch komplett !

Mozilla Firefox 2.0.0.3 und kaputte Wörterbücher

nospam@example.com (Alex) — Mon, 09 Apr 2007 02:05:16 +0200

Ist es eigentlich bisher nur mir aufgefallen, dass das deutsche Wörterbuch, welches auf der Mozilla-Webseite angeboten wird, nicht mehr mit dem Firefox 2.0.0.3 kompatibel ist ?

Warum das bisher keiner gefixt hat, ist mir auch schleierhaft. Das englische (AE) und französische Wörterbuch lassen sich korrekt installieren. British English (BE) ist ebenfalls inkompatibel geworden. Wie es mit anderen Wörterbüchern aussieht, weiß ich nicht.

Die Version 2.0.0.3 existiert seit ca. zwei Wochen und niemand kümmert sich wohl bislang darum. Scheint aber auch den meisten Benutzern egal zu sein. Nicht jeder weiß, dass er die meisten Extension-Probleme selber beheben kann bzw. tut es dann auch.
(Das liegt wahrscheinlich aber auch daran, dass die meisten Benutzer nichts von der Rechtschreibprüfung für Formularfelder wissen. Wenn sie doch einmal darauf gestoßen sein sollten, so fehlen vorinstallierte Wörterbuch-Dateien. Lokalisierten Firefox-Versionen könnte man doch auch problemlos ein vorinstalliertes Wörterbuch in der selben Lokalisierung im Installer-Download mitgeben.)

Das Problem mit den genannten zwei Extensions lässt sich leicht beheben: Man entpackt die XPI-Datei, welche ein ZIP-Archiv ist, und lädt die "install.rdf" in einen Text-Editor. Dort sucht man einfach nach der Zeichenkette "2.0" und ändert den zweiten Treffer in "3.0" um. (Jeweils ohne die Anführungszeichen.) Dann speichern und daraus wieder ein ZIP-Archiv machen und die Endung ZIP in XPI umbenennen. Jetzt per Drag 'n' Drop in das Add-Ons-Fenster von Firefox ziehen und die jeweilige Extension sollte fehlerfrei installiert werden.

Die Wörterbücher im Browser sind eine tolle Sache, wie ich finde. Sie haben bislang bei mir dazu beigetragen, dass sich meine Rechtschreibung wesentlich verbessert hat - auch ohne rote Hinweise auf falsch geschriebene Wort.
Die Signalisierung von falsch geschriebenen Worten scheint eine gute Lernwirkung auch im Papier-Alltag hinterlassen zu haben. Fehlt nur noch eine Erkennung für vergessene Buchstaben (deswegen wird ein Wort ja nicht immer gleich falsch) bzw. Worte. Am besten auch noch etwas für die Verbesserung holpriger Grammatik.

Und da das deutschsprachige Wörterbuch auch das Wort "Schifffahrt" nicht als falsch markiert, sondern dies nur bei "Schiffahrt" macht, gehe ich davon aus, dass man mit diesem Wörterbuch auch gleich die allerneuste deutsche Rechtschreibung lernt - bis sie sich mal wieder ändert ...