Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 41 reacties

Mozilla heeft een eerste protytpe van Weave online gezet. Weave 0.1 is een online opslagdienst voor bookmarks en inloggegevens, zodat Firefox-gebruikers van op elk systeem bij hun persoonlijke instellingen kunnen komen.

De doelstelling van Mozilla is om 'computeronafhankelijk browsen' aan te kunnen bieden, waarbij gebruikers op elk willekeurig systeem over hun persoonlijke bookmarks en wachtwoorden kunnen beschikken. Deze data wordt online opgeslagen en kan via de browser gesynchroniseerd worden met verschillende, al dan niet mobiele, systemen.

Mozilla lanceert met Weave dan ook een aanval op Googles Browser Sync, Opera Link en Apples Dot Mac. Mozilla zet hiermee overigens zijn eerste stappen op het gebied van online identiteitsmanagers als OpenID en Windows Live ID. Chris Beard, vicepresident en general manager van Mozilla Labs, benadrukt dat de gegevens versleuteld opgeslagen worden en dat de privacy van de gebruiker steeds gerespecteerd wordt, zo schrijft Webwereld.

Moderatie-faq Wijzig weergave

Reacties (41)

De favorieten centraal opslaan was er al een tijdje voor firefox genaamt FoxMarks

https://addons.mozilla.org/nl/firefox/addon/2410

Maar ik zit er niet echt naar uit te kijken om wachtwoorden centraal op te slaan (dus ook cookies e.d.?).
Ik gebruik dit ook en het werkt idiaal.
Nieuwe installatie van je OS? Even Firefox installeren, addon installeren en je hebt alles weer.
Ook idiaal als je een laptop en een pc hebt.

Verder geef ik niet technische mensen altijd een kleine instructie met gebruik van wachtwoorden.
online wachtwoorden lijkt me minder verstandig, meer favorieten enzo.

straks liggen je wachtwoorden op straat, bij bepaalde hackers.

[Reactie gewijzigd door Nutral op 25 december 2007 10:06]

online wachtwoorden lijkt me minder verstandig, meer favorieten enzo.

straks liggen je wachtwoorden op straat, bij bepaalde hackers.
Dat zelfde geldt natuurlijk ook voor wachtwoorden opslaan in IE. Ik weet niet hoe (on)veilig het tegenwoordig is, maar er waren tijden dat het vrijwel open was met bij wijze van spreken aanduiding in Neon van hier is het.

Wachtwoorden zijn en blijven je eigen verantwoordelijkheid. Een programma daarvoor vertrouwen houdt altijd een risico in, maar als er dan risico wordt gelopen liever via open source dan via closed sourceomdat daar meestal een hele community achter zit die zaken probeert op te lossen en op veiligheidsrisicos probeert te wijzen ipv een ontwikkelaar die alles stilhoudt om zijn goede naam niet in 'discrediet' te brengen. Totdat zijn klanten weer eens slachoffer van een exploit. (Maar ach die discussie is al zo vaak gevoerd)
In Firefox is het zelfs nog erger.

Ga eens naar Extra -> Opties -> Beveiliging

Dan heb je daar 'Wachtwoorden tonen' in het pop-up weer op 'Wachtwoorden tonen' klikken en je hebt een mooi overzicht van alle opgeslagen wachtwoorden. Altijd leuk als je achter de computer van een ander zit.
aangezien de wachtwoorden tot ergens opgeslagen moeten worden; en deze altijd volledig ingegeven moeten worden in een webpagina (dus geen hash) is het dus by-design onveilig om je wachtwoorden zo op te slaan.

aangezien firefox een open-source product is is het ook niet mogelijk om security by obscurity toe te passen (wat dus soieso niet goed is)

in eerdere versies waren de wachtwoorden ooit door een functie gehooid om ze niet in cleartext op te slaan, maar hierop kwam de opmerking dat gebruikers op die manier de indruk zouden kunnen krijgen dat hun wachtwoorden veilig waren, maar dat zijn ze dus nooit (tenzij je een master wachtwoord gebruikt om de rest te encrypten, wat je dan niet opslaat, maar da's weer een andere zaak)

vandaar de keuze om iedereen duidelijk te maken dat de wachtwoorden makelijk terug te vinden zijn; en je dus moet opletten wie je bij je pc toelaat...

en online opslaan vind ik persoonlijk niet beter...
ik gebruik keepass om mijn wachtwoorden encrypted op te slaan mbv master passwoord
maar op mijn persoonlijke pc staan deze toch gewoon in firefox opgeslaan. (kwestie van gemak, als pc uitstaat zijn die gegevens toch encrypted)
door wachtwoorden centraal op te slaan is dat probleem dus verdwenen, je hebt de wachtwoorden namelijk niet meer nodig op je pc. verder ga ik ervan uit dat de wachtwoorden op die server niet zo gemakkelijk te benaderen zijn...
Ga eens naar Extra -> Opties -> Beveiliging

Dan heb je daar 'Wachtwoorden tonen' in het pop-up weer op 'Wachtwoorden tonen' klikken en je hebt een mooi overzicht van alle opgeslagen wachtwoorden
Niet waar, feitelijk onjuist. Al heeft de legitieme gebruiker z'n master-paswoord al éénmalig ingevoerd, dan nog moet dat een tweede maal gebeuren voordat je dat mooie overzicht dat je noemt krijgt (probeer zelf maar - standaard worden de wachtwoorden zelf niet weergegeven). Probeer ik dat dus op jouw PC waar je al met master-password op bent ingelogd in Firefox, kan ik dus nog niet je wachtwoorden zien.

[Reactie gewijzigd door kidde op 26 december 2007 02:08]

Als je achter de computer van iemand anders zit, kan je sowieso wel opgeslagen wachtwoorden achterhalen, one way or another.
Om dezelfde reden hoef je als root op een Linux-systeem niet je oude wachtwoord in te voeren om een nieuw wachtwoord op te geven.
En waarom zou je iets moeilijker maken, als het toch gewoon mogelijk is?! Klagen dat gebruikers die achter je account zitten je settings kunnen lezen is net zoiets als klagen dat gebruikers die achter je computer zitten gewoon al je data kunnen deleten, of hey, je computer van de tafel kunnen gooien... Bij fysieke toegang is alles mogelijk!
Om deze redenen lock ik trouwens altijd mijn account, en ieder ander krijgt gewoon een gastaccount.
"Waarom zou je iets moeilijker maken terwijl het toch gewoon mogelijk is?" Waarom doe je je deur op slot, terwijl een hardnekkige dief toch wel binnenkomt?

Natuurlijk, elke beveiliging is te kraken, maar als je bijvoorbeeld in FireFox een master password zet kunnen mensen die "even" van jouw PC gebruik maken alsnog NIET zomaar bij je passwords. Ditto met encrypted filesystemen: ook bij fysiek bezit van de hardware blijft je data "veilig".

Je laatste zin lijkt trouwens in te gaan tegen de rest van je verhaal: waarom lock je je PC? Bij fysieke toegang is toch alles mogelijk?
Dat is bij Firefox niet waar: zodra je een hoofdwachtwoord instelt, staat het versleuteld op je harde schijf. De enige manier om dan nog aan je wachtwoorden te komen is door dat hoofdwachtwoord te kraken. Waarschijnlijk is dat wel te doen in een paar uur ofzo, zoveel combinaties zijn er niet en de test of het wachtwoord klopt zal ook best snel te doen zijn (een dagje ofzo met een domme brute-force).

Zonder dat je een hoofdwachtwoord instelt is het idd plaintext opgeslagen, en het lijkt mij verstandig om nieuwe gebruikers daarop te attenderen.

Je browser het wachtwoord laten onthouden is nog altijd 10x veiliger dan overal hetzelfde wachtwoord gebruiken: als jij een account aanmaakt op mijn site, kan ik dat wachtwoord weten. Als jij daar ook een belangrijke account mee hebt beveiligd ben je de sjaak.
Als je achter de computer van iemand anders zit, kan je sowieso wel opgeslagen wachtwoorden achterhalen, one way or another.
Clueloze klets. Dat kan je namelijk niet sowieso, tenzij je iemand zijn/haar wachtwoord laat invoeren en dat afvant. Het password *zelf* wordt niet opgeslagen, maar het resultaat van een functie met het password als parameter. Als iemand zijn/haar password ingeeft, wordt dat in die functie gestopt, en het resultaat vergeleken met het reeds opgeslagen resultaat.

Oh, en als je iemand op je computer laat spelen zonder voor hem/haar een apart account te maken met beperkte rechten, dan vraag je om problemen.
Helaas, u gaat niet door voor de koelkast.

Hoewel je het deels wel goed hebt, wachtwoorden van het OS zelf worden over het algemeen alleen opgeslagen in een manier zoals jij beschrijft, echter in veel software die op dit Os draait worden wachtwoorden vaak heel slecht beveiligd opgeslagen.

Voorbeeld? download eens "System Information for Windows" http://www.gtopala.net/en/siw.exe

Even starten en naar de optie "Secrets" navigeren en kijk wat een lijst aan software er gecheckt wordt op wachtwoorden. Met beperkte rechten worden weliswaar niet de gegevens van andere gebruikers weergegeven, maar als er meerdere mensen onder deze account werken (wat vaak wel het geval is) kan er toch nog de nodige informatie worden achterhaald.
@J.J.J.Bokma
Clueloze klets. Dat kan je namelijk niet sowieso
Hij zegt ook "One way or another"; dus al heb je alleen de hash kan je nog het paswoord achterhalen door dictionary-scans (veel kans al) en daarna 'brute force'.
Je best in de war met unix paswoorden. Web paswoorden worden wel 100% opgeslagen en moeten dus gedecript kunnen worden.
Klopt inderdaad! Ik heb dit altijd het allergrootste heikelpunt achter de security van FireFox gevonden.

@RemcoDelft:
Wachtwoorden direct zichtbaar is nog net even wat anders dan dat je eerst moet gaan hacken (IE). Zeker omdat de meeste mensen zich beperken tot 2 of 3 wachtwoorden voor alles (en terecht). Als je een glimp van deze lijst te zien krijgt kan je waarschijnlijk overal in. (En ik ben echt niet meteen aan het klagen :P)

@ikbenwouter:
Dit is de default setting, mijn moeder weet echt niet dat deze tab bestaat, laat staan dat ze weet hoe ze een masterpassword moet instellen, het is al een wonder dat ze FireFox gebruikt!
Wat voor 'encryptie' gebruikt IE? Doen ze niet met base64 toevallig? Ja, je moet de tekst in een website dumpen om je wachtwoorden uit te lezen, maar zo moeilijk is dat nou toch ook weer niet.
@BarôZZa

Daarom moet je ook een master wachtwoord erachter hangen, dan kun je de wachtwoorden pas bekijken nadat je het master wachtwoord hebt gegeven.
I know, het gaat mij puur om de standaard instellingen waar de meeste mensen niet eens weet van hebben.

Voor de rest kent ieder (nou ja, de sociale personen ;) ) natuurlijk wel dat iemand ff vraagt om iets op te zoeken op je laptop of account op bijvoorbeeld je opleiding. Als iemand dus niet weet dat al z'n wachtwoorden met twee klikken toonbaar zijn, dan is dat natuurlijk vrij vervelend.
En weer een browserfunctionaliteit erbij waarvan gebruikers straks gaan beweren dat Firefox de eerste was die die functionaliteit bood, terwijl Opera weer eerder was (in de 9.5 alpha-builds van de laatste maanden).

Zouden de Firefoxontwikkelaars ook oorspronkelijke ideeën hebben?
Beter goed gestolen dan zelf slecht uitgevonden. Waarom zou firefox het niet meer mogen hebben omdat opera het al had? Zo kan je van bijna alle zaken in een browser zeggen dat het ooit wel van een voorganger 'gestolen' werd.
Het enige is dat bijvoorbeeld van Firefox wordt gezegd dat het de eerste browser met tabs was e.d. terwijl veel Firefox features (zoals tabs) al eeuwen in Opera zaten voordat Firefox überhaupt bestond.
Kun je ook een eigen server gebruiken of ben je verplicht de servers van Mozilla te gebruiken?
Van een 'open source' bedrijf/stichting verwacht ik het eerste.
Je zou natuurlijk, als dat niet standaard kan, even de source van deze extension (tenminste, ik denk dat dit een extension is?) kunnen pakken en het serveradres van Mozilla kunnen vervangen door je eigen. Leve Open Source :P
Heb je geen server-side software nodig dan?
Ook aan die source/binaries kan je geraken.
Yup, ze hebben expres de server kant dom en simpel gehouden zodat iedereen een eigen server kan opzetten voor zo'n familie of bedrijf.

De communicatie loopt allemaal over vrij beschikbaar en vrij implementeerbare protocollen en is beveiligd met een wachtwoord wat alleen de eindgebruiker kent en nodig heeft.
waarom denken mensen nou altijd hetzelfde. Dit kan zeker een uitkomst zijn bij mensen die in de zakelijke sector zitten, die bijv. bij een vergadering even m.b.v. een laptop even in hun bedrijfssoftware via het netwerk willen komen.

Ik werk soms met me pa op een autobedrijf, daar heeft hij programma's van 10 tekenslang die hoofdletter gevoelig en nummers bevatten. Plus dat als je iets type dat je alleen bolletjes ziet kan je al garanderen dat je in zo'n wachtwoord skills moet krijgen om het zo maar even bot te zeggen.

Het is wel leuk! Alleen voor de bedrijven lijkt mij, aangezien een normale gebruiker een wachtwoord heeft van max. 8 tekens lang en vaak ook bijna overal hetzelfde wachtwoord.
Dan hebben zowat alle grote partijen al allerhande op de markt. Novell, hp, ibm, citrix, microsoft... allemaal doen ze aan identity beheer. Hetgeen Moz doet lijkt me idd meer voor de thuismarkt
Volgens mij bestaat dit al een tijd onder de naam browsersync van google...
Avant Browser heeft ook zoiets. Maar je kunt wel een account aanmaken of disablen, maar je weet nooit zeker of een disabled account ook wordt gewist. Mij iets te link.
Ik gebruik de browsersync van Google. Ideaal, zo heb je al je feeds/bookmarks/etc op elke pc/laptop up to date!
Leuk dat mensen zwaar zitten te hameren op software in verband met hun wachtwoord, maar hetgeen wat ik nog steeds moet vaststellen, zowel bij gewone gebruikers als powerusers, dat men verdacht makkelijke paswoorden gebruiken en/of 1 paswoord voor al hun logins.

Dat noem ik pas extreem gevaarlijk, stel dat er 1 website in heel de ketting de pasworden slecht op slaat en die gegevens komen op straat, dan kunnen ze met dat ene paswoord al je online data bemachtigen.

Het zelfde als er iemand in staat is via social engineering 1 paswoord te bemachtigen, alles valt zomaar te grijpen.

Niet zo goed als een randome generated paswoord en een unieke paswoorden.
Deze plugin vind ik inderdaad een goed plan. Ik gebruik nu voor elke site wachtwoord X, behalve HTTPS sites die ik vertrouw (email enzo), daarvoor gebruik ik wachtwoord Y. Voor mijn root-account en nog 2 andere plekken heb ik wachtwoord Z.

Als ik met deze plugin zou gaan werken, zou ik een random password generator gebruiken voor elke site waar ik nu wachtwoord X gebruik. Zo kan mycom.nl mijn account niet gebruiken om een positieve shop-review te geven ;)
Waarom geen dezelfde paswoorden gebruiken ? als je voor elke site een andere paswoord moet verzinnen ga je de helft toch weer vergeten.
Als je je registreert op mijn website heb ik dus je wachtwoord waar ik ook je mail en je bankgegevens mee kan bekijken? Niet heel verstandig, ik heb meerdere sites op deze manier "gehackt" zien worden.

Iets veiliger is het om variaties te gebruiken door bijv. een paar letters van de sitenaam erin te verwerken, of een password manager. Op sites met gevoelige informatie als die van je bank neem je altijd een uniek wachtwoord.
Of overal hetzelfde adres voor gebruiken en voor je bankzaken, e-mail en overige belangrijke zaken aparte wachtwoorden verzinnen.
Het is namelijk overbodig om voor onbelangrijke zaken waar wel registratie voor nodig is het jezelf moeilijk te maken.
Waarom sla je niet gewoon een MD5 hash op? ;)

Ik snap wat je bedoelt hoor, helaas heb ik ook wel eens ergens gewerkt waar ze de wachtwoorden plaintext in de database gooiden. Ik was nog altijd eens van plan om daar wat statistiekjes op los te laten: welk wachtwoord wordt het meest gebruikt :+

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True