derwowusste
Goto Top

Edge-Masterpasswort nutzlos?

Salve Kollegen.

Diese Frage dreht sich nicht nur, wie der Titel euch vielleicht annehmen lässt, um den Kennwortmanager von Edge sondern generell um Masterkennwörter in Browsern.
Ich bin auch nicht versucht, den Edge-Kennwortmanager für wichtige Dinge zu nutzen, nein, es geht lediglich um Tests und Vergleich verschiedener Methoden.

Zur Sache: Edge hat ja einen Kennwortmanager, der ein Masterpasswort setzen lässt.
Mir fiel auf, dass https://www.nirsoft.net/utils/web_browser_password.html sich nicht um dieses Masterpasswort schert, sondern, ohne dieses zu kennen, die Kennwörter allesamt in Plaintext anzeigen kann.

Wie kommt es dazu?

Edge behauptet genau wie Firefox "wenn Sie das Masterpasswort verlieren und Sync nicht aktiv ist, können Sie Ihre Kennwörter nicht wiederherstellen". Wie gesagt, für Edge stimmt das keineswegs, während es für Firefox zumindest mit diesem Tool nicht gelingt, die Kennwörter auszulesen. In Edge stellt das Masterpasswort also nur eine Hürde für den Browserprozess selbst dar (wo zuverlässig danach gefragt wird), aber nicht für die Prozesse anderer Tools, denn mit Verschlüsselung wird offenbar gar nicht bzw. nicht korrekt gearbeitet.

Content-Key: 53965136086

Url: https://administrator.de/contentid/53965136086

Printed on: May 21, 2024 at 21:05 o'clock

Member: Lochkartenstanzer
Lochkartenstanzer Sep 05, 2023 at 15:18:11 (UTC)
Goto Top
Moin,

Kann es sein, daß Edge gar nicht das masterpaßwort, sondern die Windows-credentials verwendet? Und daher automatisch die Credentials des angemeldeten Benutzers nutzt?

Hast Du mal probiert, die Paßwörter mit einem anderen User als dem auszulesen, dem das Profil gehört?

lks
Mitglied: 7907292512
7907292512 Sep 05, 2023, updated at Sep 06, 2023 at 05:14:04 (UTC)
Goto Top
Ganz einfach: EDGE speichert die Kennwörter nach dem bekannten DPAPI Schema in einer SQLITE-Datenbank (%LOCALAPPDATA%\Microsoft\Edge\User Data\Default\Login Data), welches die Credentials des aktuellen User-Profils für die Verschlüsselung benutzt. Das Custom Kennwort ist in dem Sinne nur eine Dummy-Sperre im Browser.
Wie sicher sind meine Kennwörter im Browser? (DPAPI)

screenshot

Für die Verschlüsselung der Kennwörter werden heute bei den gängigen Browsern (wie beispielsweise Mozilla Firefox, Google Chrome, Microsoft Edge Chromium) sichere Verschlüsselungsverfahren verwendet. Google Chrome und Microsoft Edge Chromium nutzen beispielsweise DPAPI, wo alles mit AES256 verschlüsselt wird. Das heisst, diese können nicht ohne den richtigen Schlüssel entschlüsselt werden. Jetzt stellt sich aber die Frage, wie der Schlüssel gesichert wird.

DPAPI ist bei Entwicklern sehr beliebt, da es für Entwickler sehr einfach ist, Daten verschlüsselt auf dem Computer zu speichern, ohne sich Gedanken darüber zu machen, wie der Schlüssel gesichert werden muss. Das übernimmt DPAPI. Bei DPAPI werden diese Schlüssel je nach Fall, mit den Anmeldegeheimnissen des Benutzers oder mit den Domänenauthentifizierungsgeheimnissen des Systems gesichert.
Wer sich also Zugang zum User-Account beschaffen kann kommt bei Edge auch an die Kennwörter, auch wenn ein benutzerdefiniertes Kennwort zum Einsatz kommt, nur halt mit separaten Tools.

Gruß sid
Member: Lochkartenstanzer
Lochkartenstanzer Sep 05, 2023 at 16:26:23 (UTC)
Goto Top
Zitat von @7907292512:

Ganz einfach: EDGE speichert die Kennwörter nach dem bekannten DPAPI Schema in einer SQLITE-Datenbank (%LOCALAPPDATA%\Microsoft\Edge\User Data\Default\Login Data), welches die Credentials des aktuellen User-Profils für die Verschlüsselung benutzt.

bestätigt damit meinen verdacht.

lks
Member: DerWoWusste
DerWoWusste Sep 05, 2023 at 16:49:25 (UTC)
Goto Top
Ja, das ist mit bewusst. Es ist nur unklar, warum Microsoft im Edge behauptet, dass es nicht wiederherstellbar ist ohne Kennwort. Dass das nicht so ist, legt nahe, dass es eben nicht so gewollt ist.
Mitglied: 7907292512
7907292512 Sep 05, 2023 updated at 18:29:52 (UTC)
Goto Top
Die behaupten viel wenn der Tag lang ist, aber die Moral von der Geschicht: Glaube niemals nimmer MS Geschreibsel nicht. ๐Ÿคฃ
Member: Globetrotter
Globetrotter Sep 05, 2023 at 21:16:15 (UTC)
Goto Top
Hi @all...
... ein Master-PW wird es aber auch geben... die NSA hat dafür gesorgt face-smile... Und dass M$ alle Deine Kennwörter bzw. Hashes dafür hat.. ist nichts neues ;(...

Gruss Globe!
Member: maretz
maretz Sep 06, 2023 at 03:35:17 (UTC)
Goto Top
Zitat von @DerWoWusste:

Ja, das ist mit bewusst. Es ist nur unklar, warum Microsoft im Edge behauptet, dass es nicht wiederherstellbar ist ohne Kennwort. Dass das nicht so ist, legt nahe, dass es eben nicht so gewollt ist.

Nun - warum sagt in der Werbung das jedes Waschmittel noch weisser wäscht als das vorher? Warum sagt beim PKW (egal ob E oder Verbrenner) jeder Hersteller dir Reichweiten und Verbrauchswerte an die du vermutlich nur schaffst wenn du dich vom Matterhorn runterrollen lässt... im leerlauf... mit abgeschalteten Motor.... Und wenn du noch nicht genug leere Versprechen hast schau dir eine politische Sendung an (nahezu egal welches Land, welche Partei... ).

Dreh es doch mal anders rum: Was würde passieren wenn bei _irgendeiner_ Software (Edge ist ja nur ein Beispiel) der Hersteller eben mal ehrlich wäre und sagt "Hey, wenn du dein Passwort vergessen hast is es kein Problem - in 5 min. Google hast du min 8 Tools die dir alle Passwörter auslesen". Meinst du irgendwer würde die Software nehmen wenn die sooo unsicher ist? Das es PRAKTISCH oft so ist dürfte wohl in "dieser Runde" hier keinen überraschen - aber in der Werbung macht es sich halt nicht so gut... Sieht man ja oft genug in Betrieben wenn der Techniker mit dem Marketing spricht - sagt der Techniker die Wahrheit kommt es oft in der bunten Welt der Versprechen ja nich soo gut an ;)
Member: maretz
maretz Sep 06, 2023 at 03:45:11 (UTC)
Goto Top
Zitat von @Globetrotter:

Hi @all...
... ein Master-PW wird es aber auch geben... die NSA hat dafür gesorgt face-smile... Und dass M$ alle Deine Kennwörter bzw. Hashes dafür hat.. ist nichts neues ;(...

Gruss Globe!

Ich würde das mal in die Ecke der Verschwörungstheorien packen.. Nicht weil es nicht möglich _wäre_ sondern weil es ziemlich sinnlos wäre. Wofür die Mühe sich die Browser-Passwörter zu speichern mit dem Risiko das irgendwann irgendwo mal jemand doch was sagt und man dann eben auch aus allen öffentlichen Geschäften rausfliegt? Für nen paar Browser-Passwörter? (Denn zB. für _meine_ Software kann MS die Passwörter nicht speichern - da die von der Software ja nicht mal was wissen können und die denen auch ziemlich egal sein dürfte).

Die "staatliche" Backdoor ist ja was anderes - da gehen die Daten aber eben auch nicht an MS. Wäre ja auch schön blöd - dann nutzt $Schwerverbrecher halt Linux und die Welt ist schön ... Um dahin zu kommen das eben die entsprechenden Betriebe sich wirklich interessieren brauchts ja mehr als nen Script-Kiddy-Versuch den Webserver des nächsten Tante-Emma-Ladens zu knacken. Da würde ich also eher mal die Infrastrukturen ansehen - ist auch viel einfacher da zB. mit Cisco nen Deal zu machen und auf die Provider-Struktur zu gehen als mich mir irgendwelchen Endgeräten rumzuärgern... Wenn man wirklich an das End-Gerät will ist der einfachste Weg nunmal immer noch die Person VORM Monitor zu nutzen (zB. Download-Injection, wenn der/die was runterlädt wird er/sie es vermutlich auch öffnen).

Von daher würde ich da MS genauso wie Mac/Linux/... sehen - klar KÖNNEN die was machen. Nur der Aufwand lohnt für den "Ertrag" halt nicht. Denn MS selbst kann mit den Daten ja auch wenig anfangen.
Member: MysticFoxDE
MysticFoxDE Sep 06, 2023 updated at 04:21:53 (UTC)
Goto Top
Moin @DerWoWusste,

Ja, das ist mit bewusst. Es ist nur unklar, warum Microsoft im Edge behauptet, dass es nicht widerherstellbar ist ohne Kennwort. Dass das nicht so ist, legt nahe, dass es eben nicht so gewollt ist.

mir war das Problem bis zu deinem Beitrag, so nicht wirklich bewusst.
Nachdem ich diesen Post jedoch entdeckt habe, musste ich mir das Ganze etwas näher anschauen,
weil ich das so, nicht wirklich glauben wollte.
Und siehe da, eine einzige Exe gestartet und das noch nicht mal mit privilegierten Rechten und ich sehe alle hinterlegten Kennwörter in Klartext. ๐Ÿคข๐Ÿคฎ๐Ÿ˜ญ

Sorry, aber das hat absolut nichts mit Sicherheit sondern höchstens etwas mit grober Fahrlässigkeit zu tun!

Ferner habe ich den Vermeintlichen Tresor ...
"%LOCALAPPDATA%\Microsoft\Edge\User Data\Default\Login Data"
... sprich die SQLITE-DB, mal mit einem einfachen Texteditor geöffnet und musste dabei feststellen,
dass in dieser DB, bei weitem mehr Datensätze abgelegt sind, als das Tool von Nirsoft ausspuckt.

Ausserdem habe ich in dieser DB, soeben meine persönlichen Daten, wie vollständiger Name, die vollständige Adresse und meine Kontaktdaten !!! in Klartext !!! gefunden. ๐Ÿคฎ๐Ÿคฎ๐Ÿคฎ

@microsoft
Warum speichert der Edge diese Daten, obwohl ich dem bewusst nicht wirklich zugestimmt habe? ๐Ÿคจ

@community
Gibt es eine Möglichkeit dies z.B. per GPO zu unterbinden?

Gruss Alex
Mitglied: 7907292512
7907292512 Sep 06, 2023 at 05:06:46 (UTC)
Goto Top
Zitat von @MysticFoxDE:
@community
Gibt es eine Möglichkeit dies z.B. per GPO zu unterbinden?

https://helpdeskgeek.com/windows-11/how-to-uninstall-microsoft-edge-from ...
Member: MysticFoxDE
MysticFoxDE Sep 06, 2023 at 05:57:17 (UTC)
Goto Top
Moin @7907292512,

Zitat von @MysticFoxDE:
@community
Gibt es eine Möglichkeit dies z.B. per GPO zu unterbinden?

https://helpdeskgeek.com/windows-11/how-to-uninstall-microsoft-edge-from ...

ha ha ha ... ich kennen sogar noch einen besseren.
https://github.com/ionuttbara/edge-remover
๐Ÿ˜‰

Das beantwortet aber nicht ganz meine Frage, zumal die Alternativen wie z.B. der Chrome ...
https://www.nirsoft.net/utils/chromepass.html
... unter denselben Krankheiten leiden. ๐Ÿ˜”

Ich möchte lediglich das der Edge überhaupt keine Logindaten speichert, zumal wir dafür eh die folgende professionellere Lösung verwenden.

https://devolutions.net/de/

Gruss Alex
Mitglied: 7907292512
7907292512 Sep 06, 2023 updated at 06:03:09 (UTC)
Goto Top
Naja gibt doch die EDGE GPO Templates da hast du es doch nativ
https://support.dashlane.com/hc/en-us/articles/360012461279-Disable-Chro ...

Disable the Edge native password manager via GPO

Log in to a windows server and open Group Policy Editor.
Download the Edge Policy Templates.
In Group Policy Editor, create a new GPO for Edge - Disable PWM.
Choose your desired scope.
Right-click the new Group Policy Object > Edit.
On the Group Policy Management Editor, go to User Configuration > Policies > Administrative Templates > Microsoft Edge.
Set the following policies:
Disable the policy Enable AutoFill for addresses.
Disable the policy Enable AutoFill for credit cards.
Under "Password manager and protection," disable the policy Enable saving passwords to the password manager.
Optionally, you can enable the policy Disable synchronization of data using Microsoft sync services.
Member: MysticFoxDE
MysticFoxDE Sep 06, 2023 at 07:10:41 (UTC)
Goto Top
Moin @7907292512,

Naja gibt doch die EDGE GPO Templates da hast du es doch nativ
https://support.dashlane.com/hc/en-us/articles/360012461279-Disable-Chro ...

Disable the Edge native password manager via GPO

Log in to a windows server and open Group Policy Editor.
Download the Edge Policy Templates.
In Group Policy Editor, create a new GPO for Edge - Disable PWM.
Choose your desired scope.
Right-click the new Group Policy Object > Edit.
On the Group Policy Management Editor, go to User Configuration > Policies > Administrative Templates > Microsoft Edge.
Set the following policies:
Disable the policy Enable AutoFill for addresses.
Disable the policy Enable AutoFill for credit cards.
Under "Password manager and protection," disable the policy Enable saving passwords to the password manager.
Optionally, you can enable the policy Disable synchronization of data using Microsoft sync services.

jetzt kommen wir der Sache schon viel näher, genau sowas habe ich gemeint, danke!

Nun stellt sich nur noch die Frage, ob die Policies so auch noch nach wie vor funktionieren und wenn ja, hoffentlich nicht nur bei den Enterprise Versionen.

Hat das jemand schon im Einsatz?

Gruss Alex
Mitglied: 7907292512
7907292512 Sep 06, 2023 updated at 07:34:40 (UTC)
Goto Top
Zitat von @MysticFoxDE:
Nun stellt sich nur noch die Frage, ob die Policies so auch noch nach wie vor funktionieren und wenn ja, hoffentlich nicht nur bei den Enterprise Versionen.

Hat das jemand schon im Einsatz?
Sicher das funktioniert auch in Pro Editionen , "ausnahmsweise" mal - fragt sich nur wie lange ๐Ÿ˜‰๐Ÿ™ƒ...
Member: DerWoWusste
DerWoWusste Sep 06, 2023 at 07:57:31 (UTC)
Goto Top
Gut, ich freue mich, dass Ihr mit Lust diskutiert.

Ich hatte hier gefragt, um sicher zu gehen, dass hier nichts defekt ist bei Edge, sondern dass es so gedacht ist.
Die Doku dazu ist nämlich alles andere als eindeutig und MS schreibt noch vor 2 Wochen auf https://learn.microsoft.com/en-us/deployedge/microsoft-edge-security-pas ...
Why doesn't Microsoft offer a Master Password to protect the data?
...blablubb...
Microsoft Edge now offers the ability to enable authentication before autofill capability; this provides users an additional layer of privacy and prevents their stored passwords from being used by anyone but them
Später verlinken sie dann etwas, wo das Masterpasswort gar nicht im Screenshot als Option bereitsteht, sondern nur dier Re-Authentifizierung mit dem Nutzerkennwort.

Ok, sie haben's mal wieder vergurkt.
In Nirsoft kann man übrigens die Firefox-Kennwörter auch auslesen, aber nicht, wenn man ein Masterkennwort setzt - selbstr wenn man es unter advanced bereitstellt und den userprofilordner angibt. Scheint echt sicher zu sein face-wink
Mitglied: 7907292512
7907292512 Sep 06, 2023 updated at 08:02:27 (UTC)
Goto Top
Microsoft Edge now offers the ability to enable authentication before autofill capability; this provides users an additional layer of privacy and prevents their stored passwords from being used by anyone but them
Sollte man eher so formulieren:

... this provides users an additional layer of privacy and prevents their stored passwords from being used by idiots.

๐Ÿ˜‚
Member: DerWoWusste
DerWoWusste Sep 06, 2023 at 08:24:59 (UTC)
Goto Top
Sollte man eher so formulieren: "... this provides users an additional layer of privacy and prevents their stored passwords from being used by idiots"
Jein. Auch die meisten non-idiots können dpapi nicht einfach umgehen, sondern werden Tools wie das von nirsoft nehmen - und die werden von den Virenscannern normalerweise einkassiert, die ein non-idiot auch nicht einfach abstellen kann ohne Adminrechte zu haben. Es ist also besserer Schutz, als ohne Masterkennwort, da ohne schon jeder, der den Browser öffnen kann, die eingespeicherten Kennwörter nutzen kann. Immerhin etwas.
Member: maretz
maretz Sep 06, 2023 at 12:37:23 (UTC)
Goto Top
Naja - da muss man jetzt denke ich etwas unterscheiden... Das eine ist ja was du als Anwender machst weil du eben ggf. wirklich nen Passwort vergessen hast. DA würde ich das sogar noch als relativ entspannt sehen - mein eigenes Passwort kann ich auch aufm Zettel schreiben...

Interessanter wirds doch eben was _andere_ machen oder was eben auf "Geschäfts-PCs" so passiert. Denn da hat man ja durchaus genug Anwender die sagen "is ja mein Profil, da kann ich ja speichern, geht ja keiner ran". Und DA wirds dann bedenklich... wobei das traurige ist das zumindest in meiner Erfahrung selbst bei "Shared PCs" die funktion "save password" gerne genommen wird. Und ich dann mit grossen Augen angeguckt werde wenn ich sage "na, dann kauf ich mal in deinen Namen bei Amazon ein" (und nicht nur einmal das ich dort Amazon-Daten gesehen habe...). DAS lässt mich dann eh an allen Zweifeln ;). Da hilft nur noch eines: 3 KG vollmetall...
Member: rzlbrnft
rzlbrnft Sep 06, 2023 updated at 13:18:12 (UTC)
Goto Top
Zitat von @DerWoWusste:
Ok, sie haben's mal wieder vergurkt.
In Nirsoft kann man übrigens die Firefox-Kennwörter auch auslesen, aber nicht, wenn man ein Masterkennwort setzt - selbstr wenn man es unter advanced bereitstellt und den userprofilordner angibt. Scheint echt sicher zu sein face-wink

Ich würde mal eher wieder auf einen Fehler in der Beschreibung tippen, meines Erachtens ist das Masterpasswort hier eher dafür gedacht, das man die Datenbank eines versehentlich gelöschten User Credentials wiederherstellt, entweder eines lokalen Users oder eines Domain Users.
Ob das geht müsste man ausprobieren.
Member: em-pie
em-pie Sep 06, 2023 at 16:51:23 (UTC)
Goto Top
Moin,

Heute morgen in einer Newstimeline gefunden, passt gut in diesen Thread hier, wie ich finde:

https://www.zdnet.de/88411573/chrome-erweiterungen-koennen-website-passw ...
Member: MysticFoxDE
MysticFoxDE Sep 06, 2023 at 17:43:28 (UTC)
Goto Top
Moin @maretz,

Interessanter wirds doch eben was _andere_ machen oder was eben auf "Geschäfts-PCs" so passiert. Denn da hat man ja durchaus genug Anwender die sagen "is ja mein Profil, da kann ich ja speichern, geht ja keiner ran". Und DA wirds dann bedenklich... wobei das traurige ist das zumindest in meiner Erfahrung selbst bei "Shared PCs" die funktion "save password" gerne genommen wird.

und genau aus demselben Grund, sehe ich diese Sache auch als besonders kritisch!
Denn auch uns Admins, gehen gewisse Sachen absolut nichts an und das sind spätestens die privaten Zugangsdaten der User und zwar ganz unabhängig davon, ob die User diese private Zugangsdaten auf betrieblichen Rechnern speichern dürfen oder nicht!

Ausserdem kann wahrscheinlich jeder 0815 Script Kiddie mit überschaubarer Mühe eine EXE bauen, die genau dasselbe macht wie das Tool von Nirsoft, ohne dabei vom AV gefressen zu werden.

Ich habe heute selbst ein bisschen rumexperimentiert und es ist nicht wirklich schwer ohne das Tool von Nirsoft und an der AV vorbei an die entsprechenden Passwörter zu kommen. ๐Ÿ˜”

Das schlimmste an der Geschichte finde ich, ist übrigens die Tatsache, dass wenn ein Angreifer einen DC kapert, er dadurch auch an die durch die User im Defender hinterlegten geschäftlichen wie privaten Zugangsdaten in Klartext und ohne grossen Aufwand, herankommen kann. ๐Ÿ˜ญ
Vor allem dann, wenn Servergespeicherte Profile verwendet werden, dann liegt alles schön auf .... . ๐Ÿ˜ฑ
So, jetzt höre ich besser auf, bevor ich noch andere auf dumme Ideen bringe.

Gruss Alex
Member: MysticFoxDE
MysticFoxDE Sep 06, 2023 at 18:01:19 (UTC)
Goto Top
Moin Zusammen,

eine kleine Ergänzung.
Ich habe mir gerade eben mal ein paar weitere Dateien unter ...
%LOCALAPPDATA%\Microsoft\Edge\User Data\Default
... angesehen und habe bei der Betrachtung der "WebAssistDatabase" und der "History" den nächste Schock bekommen. ๐Ÿ˜ญ

Der ganze Verlauf des Defenders und fast alles davon auch noch in Klartext. ๐Ÿคข๐Ÿคฎ

Ähm, das ist nun aber alles andere als lustig. ๐Ÿ˜”

Gruss Alex
Member: DerWoWusste
DerWoWusste Sep 07, 2023 at 07:02:02 (UTC)
Goto Top
Der ganze Verlauf des Defenders...
Du browst mit dem Defender? Auch nicht schlecht.
Member: rzlbrnft
rzlbrnft Sep 07, 2023 at 07:37:37 (UTC)
Goto Top
Zitat von @MysticFoxDE:

Moin Zusammen,

eine kleine Ergänzung.
Ich habe mir gerade eben mal ein paar weitere Dateien unter ...
%LOCALAPPDATA%\Microsoft\Edge\User Data\Default
... angesehen und habe bei der Betrachtung der "WebAssistDatabase" und der "History" den nächste Schock bekommen. ๐Ÿ˜ญ

Der ganze Verlauf des Defenders und fast alles davon auch noch in Klartext. ๐Ÿคข๐Ÿคฎ

Ähm, das ist nun aber alles andere als lustig. ๐Ÿ˜”

Gruss Alex

Bei mir steht da einfach der Verlauf der aufgerufenen Seiten drin und ansonsten nur Kauderwelsch, die kann ich als eingeloggter User auch direkt im Browser sehen, was soll mich dann da schockieren?
Member: MysticFoxDE
MysticFoxDE Sep 07, 2023 at 08:27:27 (UTC)
Goto Top
Moin @DerWoWusste,

Der ganze Verlauf des Defenders...
Du browst mit dem Defender? Auch nicht schlecht.

๐Ÿ˜ฌ ... ja OK, war ja auch schon etwas spät und der Defender hat mich die Tage auch schon kräftigst geärgert. ๐Ÿ™ƒ

Gruss Alex
Member: MysticFoxDE
MysticFoxDE Sep 07, 2023 at 08:30:54 (UTC)
Goto Top
Moin @rzlbrnft,

Bei mir steht da einfach der Verlauf der aufgerufenen Seiten drin und ansonsten nur Kauderwelsch, die kann ich als eingeloggter User auch direkt im Browser sehen, was soll mich dann da schockieren?

es geht mir ja auch nicht darum, dass der enstprechende User auf seinen eigenen Verlauf zugreifen kann, sondern viel mehr um alle anderen die es auch sehr einfach können. ๐Ÿ˜”

Gruss Alex
Mitglied: 7907292512
7907292512 Sep 07, 2023 updated at 08:48:11 (UTC)
Goto Top
viel mehr um alle anderen die es auch sehr einfach können.
Aber auch nur so lange man seinen Benutzeraccount/Rechner nicht entsprechend abgesichert hat, also Platte verschlüsselt, EFI locked, PreboothAuth und 2FA Login nutzt.
Wer seinen Rechner unlocked in der Gegend rum stehen lässt das jeder der will dran kann dem ist eh nicht mehr zu helfen.

Insofern ### drauf, jedem steht es frei seinen Browser selbst zu bestimmen oder selbst zu programmieren, wenn man sich auf Googles Quellcode einlässt begeht von sich aus schon einen Fehler, genauso wie Android bspw. seit jeher ein Fass ohne Boden ist, da hilft es auch nicht das ein Meter große Loch ständig mit Klebeband zu reparieren wenn darüber 3m³ Kloake nur darauf warten frei gelassen zu werden.

That's life. Welcome to the๐Ÿ๏ธ
Member: rzlbrnft
rzlbrnft Sep 07, 2023 at 09:09:42 (UTC)
Goto Top
Zitat von @MysticFoxDE:

Moin @rzlbrnft,

Bei mir steht da einfach der Verlauf der aufgerufenen Seiten drin und ansonsten nur Kauderwelsch, die kann ich als eingeloggter User auch direkt im Browser sehen, was soll mich dann da schockieren?

es geht mir ja auch nicht darum, dass der enstprechende User auf seinen eigenen Verlauf zugreifen kann, sondern viel mehr um alle anderen die es auch sehr einfach können. ๐Ÿ˜”

Der Ordner liegt im Profilpfad des Nutzers, um da drauf zuzugreifen muss ich Admin auf der Maschine sein oder der Benutzer selbst, wenn das jemand schafft, hab ich schon vorher was sehr falsch gemacht.
Member: maretz
maretz Sep 07, 2023 at 11:52:17 (UTC)
Goto Top
Zitat von @7907292512:

viel mehr um alle anderen die es auch sehr einfach können.
Aber auch nur so lange man seinen Benutzeraccount/Rechner nicht entsprechend abgesichert hat, also Platte verschlüsselt, EFI locked, PreboothAuth und 2FA Login nutzt.
Wer seinen Rechner unlocked in der Gegend rum stehen lässt das jeder der will dran kann dem ist eh nicht mehr zu helfen.

Insofern ### drauf, jedem steht es frei seinen Browser selbst zu bestimmen oder selbst zu programmieren, wenn man sich auf Googles Quellcode einlässt begeht von sich aus schon einen Fehler, genauso wie Android bspw. seit jeher ein Fass ohne Boden ist, da hilft es auch nicht das ein Meter große Loch ständig mit Klebeband zu reparieren wenn darüber 3m³ Kloake nur darauf warten frei gelassen zu werden.

That's life. Welcome to the๐Ÿ๏ธ

Ok - und was bringt dir die Verschlüsselung deiner FESTPLATTE in einer Domäne zB? Wo eben genau diese Daten auf dem servergespeichertem Profil liegen? Und wenns ganz blöd läuft auch noch auf x anderen Stationen an denen du dich mal eben angemeldet hast?

Dazu kommt: Selbst eine primitive Verschlüsselung (jetzt nich grad Rot13) ist heute auch kein Hexenwerk mehr. Dafür gibts sogar vorgefertigte Lib's die vermutlich auch MS kennen sollte ... Ggf. als "Salt" noch ein pers. Kennwort rein - auch das ist jetzt kein grosses Hexenwerk oder erfordert 30 Semester Informatik-Studium. Und schon ist das ganze eben zumindest nicht in 5 Minuten ausgelesen - und auch für einen Admin nicht "mal eben" in 2 Minuten erledigt da reinzuschauen um zu sehen wo die Mitarbeiter so im Homeoffice o. auf Dienstreise rumsurfen...
Member: MysticFoxDE
MysticFoxDE Sep 07, 2023 at 13:34:13 (UTC)
Goto Top
Ok - und was bringt dir die Verschlüsselung deiner FESTPLATTE in einer Domäne zB? Wo eben genau diese Daten auf dem servergespeichertem Profil liegen? Und wenns ganz blöd läuft auch noch auf x anderen Stationen an denen du dich mal eben angemeldet hast?

Dazu kommt: Selbst eine primitive Verschlüsselung (jetzt nich grad Rot13) ist heute auch kein Hexenwerk mehr. Dafür gibts sogar vorgefertigte Lib's die vermutlich auch MS kennen sollte ... Ggf. als "Salt" noch ein pers. Kennwort rein - auch das ist jetzt kein grosses Hexenwerk oder erfordert 30 Semester Informatik-Studium. Und schon ist das ganze eben zumindest nicht in 5 Minuten ausgelesen - und auch für einen Admin nicht "mal eben" in 2 Minuten erledigt da reinzuschauen um zu sehen wo die Mitarbeiter so im Homeoffice o. auf Dienstreise rumsurfen...

๐Ÿ‘๐Ÿ‘๐Ÿ‘
Member: rzlbrnft
rzlbrnft Sep 07, 2023 updated at 15:30:19 (UTC)
Goto Top
Zitat von @maretz:
Ok - und was bringt dir die Verschlüsselung deiner FESTPLATTE in einer Domäne zB? Wo eben genau diese Daten auf dem servergespeichertem Profil liegen? Und wenns ganz blöd läuft auch noch auf x anderen Stationen an denen du dich mal eben angemeldet hast?

Was hat eine Domäne jetzt mit Servergespeicherten Profilen zu tun? Nutzt das im Jahr 2023 wirklich noch irgendjemand, wenn sämtliche Tools ihre Settings in die Cloud syncen können?

Abgesehen davon ist auch ein Servergespeichertes Profil sicher, wenn der Admin kein Holzkopf ist.
Dort hat auch nur der Admin Zugriff und der User.

Die Verschlüsselung der Festplatte ist nicht dazu da, den User vor dem Admin zu schützen, sondern den Rechner zu schützen, wenn er geklaut wird.

Der Thread hier wird schön langsam Computerbild Style, ist schon wieder Freitag?
Member: MysticFoxDE
MysticFoxDE Sep 07, 2023 at 16:26:01 (UTC)
Goto Top
Moin @rzlbrnft,

Was hat eine Domäne jetzt mit Servergespeicherten Profilen zu tun?

ähm, ich sage an dieser Stelle nur Terminal-Server-Farm oder Shared-Workspace. ๐Ÿ˜‰

Nutzt das im Jahr 2023 wirklich noch irgendjemand, wenn sämtliche Tools ihre Settings in die Cloud syncen können?

Bitte wohin? ๐Ÿคจ
Du hast da glaube ich etwas noch nicht mitbekommen.
Microsoft - Gestohlener Cloud-Master-Key
๐Ÿ˜”

Abgesehen davon ist auch ein Servergespeichertes Profil sicher, wenn der Admin kein Holzkopf ist.
Dort hat auch nur der Admin Zugriff und der User.

Du hast das Problem glaube ich nicht wirklich verstanden.
Auch der Admin sollte in gewissen Konstellation, wenn z.B. die private Internetnutzung erlaubt ist,
nicht so einfach auf diese Informationen zugreifen können. ๐Ÿ˜‰

Die Verschlüsselung der Festplatte ist nicht dazu da, den User vor dem Admin zu schützen, sondern den Rechner zu schützen, wenn er geklaut wird.

Ja, stimmt, wir Admins sind ja per se alles nur weisse Schafe. ๐Ÿ™ƒ
Übrigens ist eine Vollverschlüsselung niemals umsonst!
Das Mindeste was man für diese bezahlt ist schon mal eine kräftige Minderung der Anwendungsperformance, sprich, man mindert dadurch auch ein Stückweit die eigene Produktivität. ๐Ÿ˜”

Der Thread hier wird schön langsam Computerbild Style, ist schon wieder Freitag?

Moment, was hat mir mein Doc erst heute morgen gesagt ... ah ja ... das war glaube ich so was ähnliches wie ... "Alex, in deinem Alter solltest du dich nicht mehr über jeden Blödsinn aufregen.". Das ist jetzt glaube ich eine hervorragende Gelegenheit seinen Tipp auch gleich mal in die Tat umzusetzen.

Sprich, ich wünsche dir einen angenehmen Abend.

Gruss Alex
Member: maretz
maretz Sep 07, 2023 at 16:32:00 (UTC)
Goto Top
Zitat von @rzlbrnft:

Zitat von @maretz:
Ok - und was bringt dir die Verschlüsselung deiner FESTPLATTE in einer Domäne zB? Wo eben genau diese Daten auf dem servergespeichertem Profil liegen? Und wenns ganz blöd läuft auch noch auf x anderen Stationen an denen du dich mal eben angemeldet hast?

Was hat eine Domäne jetzt mit Servergespeicherten Profilen zu tun? Nutzt das im Jahr 2023 wirklich noch irgendjemand, wenn sämtliche Tools ihre Settings in die Cloud syncen können?

Abgesehen davon ist auch ein Servergespeichertes Profil sicher, wenn der Admin kein Holzkopf ist.
Dort hat auch nur der Admin Zugriff und der User.

Die Verschlüsselung der Festplatte ist nicht dazu da, den User vor dem Admin zu schützen, sondern den Rechner zu schützen, wenn er geklaut wird.

Der Thread hier wird schön langsam Computerbild Style, ist schon wieder Freitag?

Oh ja - das machts noch besser... den kram in die Cloud auslagern weil DA ist es dann noch sicherer... und nebenbei sind die Servergespeicherten Profile auch heute noch nicht sooo selten da nicht jede (grössere) Firma möchte das die lustigen Profile mit x GB Daten weil der Anwender mal wieder tonnen an Downloads usw. im Profil hat jedes mal ins Netz geschoben werden...

Und wenn der DC irgendwo in der Cloud steht ist es wieder dasselbe - der Admin hat direkt darauf zugriff... Und im dümmsten Fall (zB. Entwickler-Maschinen) haben sogar die Anwender lokale Admin-Rechte und können da ggf. noch rumfummeln...

Ganz davon ab: Es sollte _HEUTE_ einfach nicht mehr so völlig Sinnfrei im Klartext gespeichert werden. Denn wenn alle Menschen sich doch so schön ans Gesetz halten würden - warum hast du denn nen Auto-/Wohnungs-/Fahrrad-/...Schlüssel? Vermutlich weils eben genug "Schwarze Schafe" gibt. Und noch blöde wenn der Admin eben mal pennt (oder einfach keine Ahnung hat) und SEIN Rechner übernommen wird. Dann hat derjenige also gleich mal zugriff auf alles - sehr toll, oder?
Member: rzlbrnft
rzlbrnft Sep 08, 2023 updated at 08:30:46 (UTC)
Goto Top
Zitat von @MysticFoxDE:
Du hast das Problem glaube ich nicht wirklich verstanden.
Auch der Admin sollte in gewissen Konstellation, wenn z.B. die private Internetnutzung erlaubt ist,
nicht so einfach auf diese Informationen zugreifen können. ๐Ÿ˜‰

Wenn ich dem Admin nicht vertrauen kann, dann kann ich auch gleich die Firma zusperren.
Sorry, aber diese Diskussion ist völlig sinnlos. Es geht um Browserverläufe, nicht um Lohntabellen.


Zitat von @maretz:
Zitat von @rzlbrnft:
Zitat von @maretz:
Ok - und was bringt dir die Verschlüsselung deiner FESTPLATTE in einer Domäne zB? Wo eben genau diese Daten auf dem servergespeichertem Profil liegen? Und wenns ganz blöd läuft auch noch auf x anderen Stationen an denen du dich mal eben angemeldet hast?
Was hat eine Domäne jetzt mit Servergespeicherten Profilen zu tun? Nutzt das im Jahr 2023 wirklich noch irgendjemand, wenn sämtliche Tools ihre Settings in die Cloud syncen können?
Abgesehen davon ist auch ein Servergespeichertes Profil sicher, wenn der Admin kein Holzkopf ist.
Dort hat auch nur der Admin Zugriff und der User.
Die Verschlüsselung der Festplatte ist nicht dazu da, den User vor dem Admin zu schützen, sondern den Rechner zu schützen, wenn er geklaut wird.


Oh ja - das machts noch besser... den kram in die Cloud auslagern weil DA ist es dann noch sicherer... und nebenbei sind die Servergespeicherten Profile auch heute noch nicht sooo selten da nicht jede (grössere) Firma möchte das die lustigen Profile mit x GB Daten weil der Anwender mal wieder tonnen an Downloads usw. im Profil hat jedes mal ins Netz geschoben werden...

Macht echt kein einziger Admin, den ich kenne, denn die Profile ins Lan schieben mit x GB Downloads ist genau so sinnlos und Performance fressend. Kann ich auch einfach den Switch ausstecken morgens wenn alle online kommen, das hat in etwa den selben Effekt. Und auch in der Cloud kann man Daten verschlüsseln. Dann könnt ich sie zwar theoretisch abgreifen aber dann viel Spaß damit.

Und wenn der DC irgendwo in der Cloud steht ist es wieder dasselbe - der Admin hat direkt darauf zugriff... Und im dümmsten Fall (zB. Entwickler-Maschinen) haben sogar die Anwender lokale Admin-Rechte und können da ggf. noch rumfummeln...

Beides hat doch überhaupt nichts miteinander zu tun. Du vermischt hier Themen, die völlig unterschiedlich zu behandeln sind. Das eine ist ein Verlauf von aufgerufenen URLs, das andere ist mein Anmeldeserver, der in einem separaten VLAN steht und nur über Ports erreichbar ist, die ich unbedingt brauche.
Ich gehe in einem Administrator Forum auch nicht vom dümmsten Fall aus, sondern von Leuten, die ihr Handwerk verstehen, für was bin ich sonst hier? Und lokaler Admin auf Entwickler Maschinen, wo soll das Problem sein? Dafür ist es eine Entwickler Maschine, jeder mit etwas Verstand trennt die Entwicklungsumgebung per Firewall vom restlichen Netzwerk, weil eben mal was schief gehen kann.

Ganz davon ab: Es sollte _HEUTE_ einfach nicht mehr so völlig Sinnfrei im Klartext gespeichert werden. Denn wenn alle Menschen sich doch so schön ans Gesetz halten würden - warum hast du denn nen Auto-/Wohnungs-/Fahrrad-/...Schlüssel? Vermutlich weils eben genug "Schwarze Schafe" gibt. Und noch blöde wenn der Admin eben mal pennt (oder einfach keine Ahnung hat) und SEIN Rechner übernommen wird. Dann hat derjenige also gleich mal zugriff auf alles - sehr toll, oder?

Nochmal. Erstens sind es völlig unbedenkliche Daten, wen interessiert bitte, welche Seite du aufgerufen hast, das ist ungefähr so wichtig wie die Blumen in deinem Garten, die sind auch völlig ohne Schlüssel einsehbar, zweitens, die Daten liegen in einem mit Berechtigungen abgesichertem Profil, auf das nur der User Zugriff hat und ein lokaler Admin des Tier 1. Das wars. Wenn ein schwarzes Schaf sieht, was ich im Browser für URLs aufgerufen habe, was genau soll er dann damit anfangen? Man muss schon unterscheiden was für Daten man vor sich hat, und ob sich da die Leistung für eine Verschlüsselung lohnt, oder nicht. Ram und CPU frisst dein Browser auch so schon zur Genüge.
Mitglied: 7907292512
7907292512 Sep 08, 2023 updated at 08:54:13 (UTC)
Goto Top
Jungs ruft euere Porno-Seiten einfach nicht am Arbeitsplatz auf und macht eure privaten Dinge an euren eigenen Rechnern daheim ๐Ÿคฃ.
Das was ich aufe Arbeit aufrufe, kann von mir aus Hinz und Kunz mitverfolgen dat juckt mich ehrlich gesagt nüscht.
Einfach an die Regeln halten dann kann einem keiner was ..
Wer Passwörter im Browser speichert, hat eh einen an der Waffel, ich nehme ja auch nicht meinen Vorrat an Nitro-Glycerin mit auf eine Buschtour mit dem 4WD. Das ist so'n deutsches Ding mit dem Datenschutz in jeder noch so kleinen Ritze ...

So jetzt dürft ihr euren Senf aus der Tube drücken ๐Ÿ˜, ich bin dann mal wech ...
Member: MysticFoxDE
MysticFoxDE Sep 09, 2023 updated at 04:30:21 (UTC)
Goto Top
Moin @rzlbrnft,

Wenn ich dem Admin nicht vertrauen kann, dann kann ich auch gleich die Firma zusperren.

es geht mir nicht darum, Misstrauen gegen Admins zu streuen, bin ja selbst einer. ๐Ÿ˜‰
Mir geht es eher darum, dass auch uns Admins mal ein Fehler passieren kann, sprich,
dass auch ein Account eines Administrators, ganz sicher nicht zu 100% vor einer Kompromittierung sicher ist.

Sorry, aber diese Diskussion ist völlig sinnlos. Es geht um Browserverläufe, nicht um Lohntabellen.

Na ja, für manche Zeitgenossen sind Zugangsdaten und Browserverläufe nun mal viel wertvoller als irgendwelche Lohntabellen. ๐Ÿ˜”

"Macht echt kein einziger Admin, den ich kenne, denn die Profile ins Lan schieben mit x GB Downloads ist genau so sinnlos und Performance fressend."

Und ich kenne keinen Admin, der ständig den Inhalt der Downloads seiner User kontrolliert.

Nochmal. Erstens sind es völlig unbedenkliche Daten, wen interessiert bitte, welche Seite du aufgerufen hast, das ist ungefähr so wichtig wie die Blumen in deinem Garten.

Mehr wie ein User und vor allem Angreifer, zu denken lernen du musst. ๐Ÿ˜‰

Gruss Alex
Member: MysticFoxDE
MysticFoxDE Sep 09, 2023 at 04:28:52 (UTC)
Goto Top
Moin @7907292512,

Jungs ruft euere Porno-Seiten einfach nicht am Arbeitsplatz auf ...

๐Ÿ˜ฏ ... und wie soll ein Admin dann sonst die Inhaltsfilter auf deren korrekte Funktion testen? ๐Ÿคช

Gruss Alex
Member: maretz
maretz Sep 09, 2023 at 06:03:59 (UTC)
Goto Top
Ich finde allein den Ansatz super... Hey - dem Admin kann man natürlich absolut vertrauen... Sind das eigentlich dieselben Leute die dann rumheulen weil die Anwender Remote-Zugang geben, Passwörter raushauen,... weil der Admin ja am Telefon gesagt hat das er/sie ja Admin ist? Oder weil der in der Zweigstelle ja reingekommen ist und nen passendes Namensschild am Anzug hatte und damit in jeden Raum reinkam?

Ein GUTER Admin sollte doch eigentlich sogar seinen Kollegen versuchen beizubringen eben grad im IT-Bereich NICHT zu vertrauen. Wenn ich zB. bei ins an Bord gehe KANN ich mir jederzeit selbst nen Generalschlüssel machen - überraschend als Admin, oder? Trotzdem würde ich nie alleine in eine bewohnte Kabine gehen. Und das dient auch MEINER Sicherheit - wenn nämlich jemand sagt "da wurde was geklaut" kann ich immer klar zeigen das ich nie alleine da war. Muss der Kollege kurz weg gehe ich halt aus der Kabine raus und mache die Tür in der Zeit zu...

Dasselbe hier: Aus MEINER Sicht ist sowas eben nicht nur für den Anwender blöd. Denn was ist wenn die Passwörter vom Anwender plötzlich doch im Netz landen... und die von seinem Kollegen auch.. und die vom 3ten gleich daneben liegen... Schon steht man als Admin doch auch doof da - weil man eben prinzipiell einfachen Zugang zu diesen Daten hat. OB man das jetzt wirklich gemacht hat oder nicht spielt erstmal keine Rolle... Und selbst wenns _RECHTLICH_ da keine Folgen hat bleibt halt nen Nachgeschmack... Und ich für meinen Teil freue mich eben daher über jedes System bei dem ich sagen kann: Warum, ich hatte gar keine Möglichkeit da was zu tun. Denn das dient auch MEINER Sicherheit.. (ich komme zB. hier im Office auch nicht in jeden Raum einfach rein -> super! Denn wenn da irgendwas so wie heute passiert war ich zwar zur selben Zeit im Büro aber ohne Zugang braucht keiner kommen und sagen das ich was gemacht habe...)