Firefox-Anwender, die das automatische Speichern von Passwörtern aktiviert haben, kennen das Problem: Auf manchen Seiten erscheint die Frage, ob man den gerade eingegebenen Nutzernamen samt Passwort speichern möchte, einfach nicht – und man darf sich auf dieser Seite immer wieder manuell neu anmelden.

Der Grund dafür liegt nicht in schlecht programmierten Seiten oder in einem Fehler des Browsers – im Gegenteil, dieses Verhalten ist gewollt. Seitenbetreiber können festlegen, ob eine automatische Passwortspeicherung durch Browser auf ihren Seiten unterbunden wird. Im Quelltext der Seiten sorgt in diesen Fällen nämlich die Angabe autocomplete="off" dafür, dass in Eingabefelder eingetragene Daten nicht gespeichert werden. Der Browser wird damit angewiesen, den Dialog zum Speichern des Passwortes gar nicht erst zu zeigen. Genau das macht Firefox dann auch, wenn ein Quelltext diesen Hinweis enthält.

In früheren Versionen von Firefox konnte man dieses „Feature“ über about:config noch abschalten, auch in Seamonkey war diese Bevormundung eine Zeitlang abstellbar. Zwischenzeitlich hat man sich im Hause Mozilla dazu entschlossen, den Seitenbetreibern die alleinige Kontrolle darüber zu geben, ob Passwörter für ihre Seiten gespeichert werden können oder nicht.

Fakt ist, dass Firefox im Grunde keine Wahl hat. Würde der Browser diese Funktionseinschränkung nicht beinhalten, würden viele Bankenseiten den Fuchs aus vermeintlichen „Sicherheitsgründen“ wohl vom Zugriff ausschließen – und die Nutzer dann über Firefox schimpfen, wieso dieser nicht fürs Onlinebanking zu gebrauchen wäre. Über die Sinnhaftigkeit dieser Maßnahmen kann man natürlich geteilter Meinung sein. Einerseits wird dadurch relativ sicher verhindert, dass sensible Benutzerdaten und Passwörter automatisch dauerhaft auf der Festplatte gespeichert werden, andererseits kann man selbst auf Bankenseiten mit diesen Daten nicht viel Böses anstellen – außer den Kontostand abzufragen.

Usability-Sünde

Zu kritisieren ist jedoch, wie Firefox dies umsetzt. Der Anwender wird über das Nichtspeichern nämlich nicht informiert. Gibt er seine Daten in ein entsprechend markiertes Feld ein und klickt auf „Absenden“, passiert einfach gar nichts, die gewohnte Frage, ob man das Passwort speichern will, erscheint einfach nicht. Das verwirrt und lässt manche Nutzer glauben, die Seite oder der Browser würden nicht richtig funktionieren. Doch auch immer wieder erneutes Eintragen der Daten führt zu keinem anderen Ergebnis. Firefox blendet keine Infoleiste oder einen anderen Hinweis ein, warum die Passwortabfrage nicht erscheint.

Natürlich ist es keine besonders gute Idee, sensible Anmeldedaten einfach so vom Browser speichern zu lassen. Allerdings gibt es dennoch Szenarien, in denen das Speichern trotzdem sinnvoll sein kann. In diesen Fällen wäre es nutzerfreundlich, wenn Firefox dies unterstützen würde. Firefox könnte …

• einen Schalter via about:config dafür anbieten
• individuelle Ausnahmeregeln zulassen
• das Speichern wenigstens zulassen, wenn es in Verbindung mit einem Master-Passwort geschieht
• zwar die Passwortspeicherung übergehen, sich aber wenigstens den Benutzernamen merken
• und eben zumindest darauf hinweisen, wenn Seiten das automatische Speichern unterdrücken.

Nichts von alledem hat Firefox umgesetzt.

Wohin mit den Passwörtern?

Das Problem liegt nun darin, dass die Nutzer die Daten aber dennoch irgendwo speichern müssen. Verschiedene, meist kryptische, Benutzernamen und Passwörter auswendig lernen können die wenigsten, also werden diese natürlich trotzdem wieder irgendwo aufgeschrieben. Im schlimmsten Fall dann unverschlüsselt in einer Textdatei auf dem Desktop oder auf einem an den Monitor geklebten Notizzettel. Damit ist der angestrebte Sicherheitsgewinn wieder zunichte gemacht. Heutzutage erfordern Dutzende von Diensten Anmeldedaten, und nicht nur Bankenseiten verbieten das Speichern der Einloggdaten im Quelltext. Alle Daten kann man sich unmöglich merken. Wie also vorgehen? Daten also tatsächlich in Klartext woanders auf der Festplatte speichern und manuell in die Browsermasken einfügen? Zettel in die Schreibtischschublade legen und jedesmal Zahlenkolonnen manuell abtippen? Dann doch lieber die browserseitige Speichernfunktion nutzen und mit Master-Passwort versehen, so dass man sich nur ein kryptisches Passwort (und keine Anmeldenamen mehr) zu merken braucht.

Firefox-Beschränkung umgehen

Wer Gründe hat, sich von Browser und Seiten nicht gängeln zu lassen und Passwörter wie Anmeldedaten trotzdem im Browser speichern möchte, hat dazu mehrere Möglichkeiten.

Zum einen gibt es mit Activate Autocomplete eine Erweiterung, die die Beschränkung in Firefox generell aufhebt, das frühere Firefox-Verhalten wiederherstellt und somit auch auf Seiten, die das Speichern eigentlich verbieten, den Speicherndialog wieder erscheinen lässt. Diese Erweiterung wurde zeitweilig jedoch nicht aktualisiert und funktioniert mit neuesten Firefoxversionen nicht korrekt. Eine aktuellere Erweiterung, die nach demselben Prinzip arbeitet, ist RememberPass.

Andere Lösungen experimentieren mit diversen Skripten, wozu jedoch wiederum meist die Installation der Erweiterung Greasemonkey erforderlich wird. Zudem veralten diese Lösungen schnell, wenn sich etwas auf den Anmeldeseiten oder in Firefox ändert.

Individuelle Lösung

Man muss wissen, dass Firefox Anmelde- und Passwortfelder trotz seitenspezifischen Verbots trotzdem automatisch ausfüllt, wenn sich die entsprechenden Anmeldedaten und Passwörter bereits im Passwortmanager von Firefox befinden. Die Lösung für das Problem besteht also darin, die Daten einmal manuell im Passwortmanager zu hinterlegen, um sie in Zukunft automatisch einsetzen lassen zu können. Allerdings bietet Firefox keine Möglichkeit, im Passwortmanager neue Datensätze anzulegen. Wie bekommt man also die Daten dort hinein und auch noch möglichst komfortabel? Auch hierfür gibt es verschiedene Möglichkeiten.

1. Erweiterungen

Die Erweiterung Saved Password Editor macht genau das: Sie erweitert den Passwortmanager um weitere Schaltflächen, mit denen manuell neue Domains und Passwortdaten eingetragen werden können. Auch ist es möglich, einfach im Kontextmenü zu einem Anmeldefeld die hier eingetragenen Daten für den Passwortmanager zu übernehmen.

Dialog der Erweiterung Saved Password Editor

Eine Alternative ist die Erweiterung reallyremember, die mit autocomplete="off" versehene Felder farblich hervorhebt und einen Befehl im Kontextmenü bereitstellt, mit dem das derart beschränkte Feld wieder zu einem regulären umgewandelt wird. Mit Nutzung dieser Erweiterung ist das Speichern wieder auf gewohntem Wege möglich.

Die folgenden Methoden zielen ebenso darauf ab, den Speicherndialog nach dem erstmaligen Eintragen eines Passwortes wieder erscheinen zu lassen.

2. Bookmarklet

Ein Bookmarklet ist ein Javascript-Lesezeichen, mit dem man die aktuell geladene Seite manipulieren kann. Damit umgeht man einmalig die seitenspezifische Vorgabe zum Nichtspeichern, ermöglicht also das Speichern des Anmeldevorgangs trotz „Verbotes“. Hierzu ruft man die Anmeldeseite auf, gibt die Daten ein, klickt dann auf das Lesezeichen und loggt sich danach ganz normal auf der Seite ein. Nun bietet Firefox die Abfrage zum Speichern wieder an. Es gibt verschiedene Bookmarklets zu diesem Zweck, die gängigsten findet man auf dieser Seite von Mozillazine.

Diese Codes werden einfach als neues Lesezeichen in Firefox eingetragen, um sie nutzen zu können.

3. Quelltext verändern

Die dritte Möglichkeit besteht darin, einfach manuell den Seitenquelltext zu verändern, der das Passwortspeichern verbietet. Dazu eignet sich die Erweiterung Firebug, da sie den Quelltext einer im Browser aufgerufenen Seite in Echtzeit ändert. Dazu ruft man eine Anmeldeseite auf, öffnet Firebug, wählt das Passwort- oder Anmeldefeld aus und ändert dann schlicht den Eintrag autocomplete="off" zu autocomplete="on" – füllt die Felder normal aus und meldet sich an. Auch dann blendet Firefox die Speicherabfrage wieder ein.

Seit Firefox 10 funktioniert dies sogar ohne diese Erweiterung: Über einen Kontextklick „Element untersuchen“ und das anschließende Anklicken der Schaltfläche „HTML“ bietet Firefox diese Funktionalität auch direkt an.

Anschließend können die evtl. genutzten Bookmarklets oder Erweiterungen übrigens auch wieder entfernt bzw. deaktiviert werden: Firefox bietet künftig bei Klick in das Anmeldefeld die Daten zum automatischen Ausfüllen auch weiterhin an, wenn die Daten dazu erst einmal im Passwortmanager enthalten sind.