Is het nog steeds 1 april? Ik dacht dat je wachtwoorden niet moest hergebruiken? Bovendien hebben de gebruikers die deze functie het meeste nodig hebben, geen wachtwoord op hun OS.

Ik gebruik een klein papieren notitieboekje. Maar deze maatregel is wel effectief denk ik.

Ik denk van niet. Het zet gewoon een UAC scherm op de knop die je wachtwoorden laat zien. Je kan nog steeds in je profile directory kijken van Firefox om de wachtwoorden zonder encryptie te achterhalen.

Ik dacht eerst dat het wachtwoord van je OS gebruikt werd om je wachtwoorden te encrypten. Maar er zit gewoon helemaal geen wachtwoord op.

Deze functie bestaat overigens al in alle gangbare OSen. Het het 'Lock Screen'.

Anoniem 11:00

Kijk maar in /etc/passwd daar zie je ook alle namen maar niet de wachtwoorden zelf dus ik denk dat ze bij mozilla en anderen hetzelfde principe hebben toegepast. Maar goed, ik heb versie 76 van ff nog niet gezien dus voor mij is het ook nog een raadsel om eerlijk te zijn.

Wie zijn wachtwoorden in een browser of in de 'cloud' opslaat is te DOM voor woorden.

Er wordt hier niets 'hergebruikt' omdat het juist voor de gevallen bedoeld is waar geen wachtwoord ingesteld is. Firefox zal het wachtwoord niet kennen en waarschijnlijk het ingevoerde wachtwoord aan een API van het systeem aanbieden en het resultaat gebruiken.

Alleen zal Firefox de wachtwoorden ook niet gecodeerd kunnen opslaan zonder eigen hoofdwachtwoord. De functie is blijkbaar alleen bedoeld om te voorkomen dat de wachtwoorden op een simpele manier door derden opgehaald kunnen worden.

Ze staan in de Shadow File https://en.wikipedia.org/wiki/Passwd#Shadow_file

Probleem is dat Firefox (behalve de updater) zonder admin rechten draait. En dit wil je ook zo houden voor de veiligheid van je hele systeem. Dus dat hele UAC gebeuren is heel raar om te zien. Er durft kennelijk niemand meer kritisch te zijn bij het huidige Mozilla.

Anoniem 11:00

Ik heb geen wachtwoord voor Windows, wel een pincode. Nou ja, niet dat ik wachtwoorden opsla in Firefox. Die gaan lekker allemaal Keepass in.

Wat heeft jouw reactie dan met artikel te maken?

Hangt geheel af van de implementatie, en de verder genomen beveiligingsmaatregelen. Maar dat snappen alleen slimme mensen.

Goede onderbouwing.....

Werkt trouwens gewoon heel goed en veilig hoor, en een stuk gemakkelijker dan de meeste andere oplossingen.

En de jouwe? De stille vraag, wat als je een pincode, danwel Windows Hello gebruikt om je Windows te ontsluiten, wat gaat Firefox dan doen?

Ik vind het opvoedkundig bezien zeker interessant.

Inderdaad. Dat staat ook in de beschrijving van de (oplossing voor de) bug.


https://bugzilla.mozilla.org/show_bug.cgi?id=1194529

Waarom zijn zoveel "beveiligingse experts" zo... ja sorry ik heb even geen beleefd woord om dit te omschrijven.

Elke keer als er een veiligheidsdingetje wordt gepubliceerd waar jan-met-de-pet gevoelig voor is dan staat er een legertje van dit soort mensen klaar om te vertellen hoe verschrikkelijk dom iedereen die er voor valt wel niet is.

*achteraf* weten alle "experts" precies te vertellen wat iederen fout deed en dat ze zelf echt nooooit zoiets ontiegelijk doms zouden doen.
Alles wat er hier gepost wordt over lekken wordt afgepiest als "dat wist ik al jaren" en "je moet wel heel dom zijn als je dat niet weet" en andere kreten die duidelijk moeten maken dat we hier toch echt wel te maken hebben met een mega-expert die vertelt hoe ontiegelijk nietig jij als domme eindgebruiker wel niet moet zijn dat je dat niet wist.

Elke keer dat een bedrijf de veiligheid probeert te verbeteren dan is het "nou daar heb je dus niets aan want als je <en dan volgt een omschrijving van een situatie die *niets* met het issue te maken heeft> dan is het nog steeds onveilig".

De hemel verhoedde dat er iets wordt gepost over Windows, Android of Apple, dan gaan de heren collectief los om het OS hun favouriete OS te promoten en het andere OS zwart te maken. Dat ze meestal niet genoeg van het andere OS weten om uberhaupt het issue te begrijpen dat doet ze niets, er moet flink duidelijk worden dat *hun* favouriete OS superieur is.... tot er een paar dagen later een issue met dat OS is, dan hoor je ze niet.

Ik vind security.nl een leuke site met nuttig nieuws maar die comments zouden eigenlijk gewoon afgesloten moeten worden, 99.4 pocent is geneuzel in de marge, misonformatie en ruzie.

Dan wordt er gevraagd om de pincode. Deze wijziging is niks nieuws, behalve blijkbaar voor Firefox. Chromium based browsers doen dit al een hele lange tijd. De support hiervoor is gebaseerd op de ingebouwde security dialog, wat dus ook Windows Hello ondersteund (waaronder PIN en WH Face).

En wie dat zegt, weet niet hoe het werkt.