WinFuture-Forum.de: Firefox warnt vor unsicheren Verbindungen - WinFuture-Forum.de

Zum Inhalt wechseln

Nachrichten zum Thema: Software
  • 2 Seiten +
  • 1
  • 2

Firefox warnt vor unsicheren Verbindungen Diese Verbindung ist nicht sicher

#16 Mitglied ist offline   Holger_N 

  • Gruppe: aktive Mitglieder
  • Beiträge: 4.055
  • Beigetreten: 11. September 10
  • Reputation: 169

geschrieben 28. April 2017 - 08:01

Beitrag anzeigenZitat (Gispelmob: 28. April 2017 - 06:53)

Opera suggeriert, dass alle Verbindungen sicher sind weil es überhaupt nichts anzeigt. Das ist noch gefährlicher.^^


Stimmt doch so gar nicht. Opera kennzeichnet sichere Verbindungen über mit einem kleinen grünen Schloß. Nur ich bekomme keinen Warnhinweis wenn dem nicht so ist, denn wenn ich mir als Nutzer darüber im Klaren bin, ob ich gerade eine Seite über https oder http aufrufe, dann brauche ich keine zusätzliche Warnmeldung darüber.

Wie wirkungsvoll die Meldung ist, zeigt ja im Übrigen der Thread. Man muß sich dann ja trotz Warnung angemeldet haben, um den Thread zu starten.
Ich bin ein sehr ordentlicher, fleißiger und reinlicher Mensch, nur leider gefangen im Körper eines schmuddeligen Faulpelzes … tja, kann man nix machen …
1

Anzeige

#17 Mitglied ist offline   Gispelmob 

  • Gruppe: aktive Mitglieder
  • Beiträge: 688
  • Beigetreten: 14. August 15
  • Reputation: 61

geschrieben 28. April 2017 - 08:39

Beitrag anzeigenZitat (d4rkn3ss4ev3r: 28. April 2017 - 06:55)

Nur weil Chrome meint das jegliche nicht-HTTPS Seiten unsicher sind, heißt es nicht das dies so korrekt ist.

Im Umkehrschluss heisst das also, dass unverschlüsselte Seiten sicher sind. Mensch da hätte man gleich drauf kommen können.

Firefox warnt wie jeder Browser mit einem Symbol links von der URL ob die Seite verschlüsselt ist oder nicht. Da besteht also kein Unterschied.

Jetzt warnt aber Firefox noch zusätzlich vor Webseiten die zwar https:// nutzen aber nur teilverschlüsselt sind. Da wird nämlich dick mit einem SSL Zertifikat gearbeitet damit https:// als Protokoll vor der URL steht, die Logindaten werden aber dummerweise nur über http:// übertragen.

Das Firefox genau diese Schwachstelle aufdeckt und bei jeglichen Eingabefeldern bei denen das so ist eine Warnung anzeigt, ist besser als alles was die anderen Browser machen. Die geben nämlich durch https:// vor dass die Seiten sicher sind, obwohl nur der unwichtige Teil der Seite verschlüsselt übertragen wird, der wichtige Teil mit den Logindaten aber unverschlüsselt ist.

Im Grunde ist winfuture auch so eine Seite. Einige Skrite/Links laufen über https://, wobei sich die Frage stellt wozu gerade sie Scripte/Links die für das Favicon, Stylesheet und die Werbung zuständig sind sicher übertragen müssen, der Teil der Seite mit den Logindaten aber noch nie was https:// gehört hat.

Ich finde es super dass Firefox Schwachstellen in Webseiten aufdeckt. Ich finde es schlecht, dass andere Browser da noch Nachholbedarf haben und am schlimmsten sind die User, die mit Ratschlägen wie "älteren oder anderen Browser installieren" kommen. Denn die haben überhaupt nicht verstanden dass der Fehler nicht bei Firefox liegt sondern bei den Webseiten. Wenn die Webseiten sicher wären, dann würde es keinerlei extra Meldung durch Firefox geben.

Da einzige und wirklich einzige bei dem ich der Meinung bin dass Firefox vielleicht etwas ändern könnte, wäre zu schauen ob die Seite im LAN liegt und dann ggf. die Meldung unterdrücken. Aber sonst macht es Firefox richtig!

Beitrag anzeigenZitat (Holger_N: 28. April 2017 - 08:01)

denn wenn ich mir als Nutzer darüber im Klaren bin, ob ich gerade eine Seite über https oder http aufrufe, dann brauche ich keine zusätzliche Warnmeldung darüber.

Auch wenn man über https verbunden ist, heisst das noch lange nicht dass alle Teile der Webseite über https geladen werden. Deswegen ist man sich eben nicht im klaren darüber sondern nimmt nur an dass es so ist. Klarheit bringt erst ein Blick in den Code jeder Webseite.

Dieser Beitrag wurde von Gispelmob bearbeitet: 28. April 2017 - 08:46

0

#18 Mitglied ist offline   d4rkn3ss4ev3r 

  • Gruppe: aktive Mitglieder
  • Beiträge: 3.826
  • Beigetreten: 03. Januar 09
  • Reputation: 492

geschrieben 28. April 2017 - 09:04

Beitrag anzeigenZitat (Gispelmob: 28. April 2017 - 08:39)

Im Umkehrschluss heisst das also, dass unverschlüsselte Seiten sicher sind. Mensch da hätte man gleich drauf kommen können.

Du verstehst es nicht oder?

Es geht nicht um kaputte HTTPS Seiten, denn die werden schon sehr lange als solche markiert und man wird darüber gewarnt.
Hier geht es um reine Panikmache bei HTTP Seiten. Nur weil sie nicht verschlüsselt sind, sagt Chrome und Firefox das sie unsicher sind, was totaler Müll ist.

Beitrag anzeigenZitat (Gispelmob: 28. April 2017 - 08:39)

Firefox warnt wie jeder Browser mit einem Symbol links von der URL ob die Seite verschlüsselt ist oder nicht. Da besteht also kein Unterschied.
Jetzt warnt aber Firefox noch zusätzlich vor Webseiten die zwar https:// nutzen aber nur teilverschlüsselt sind. Da wird nämlich dick mit einem SSL Zertifikat gearbeitet damit https:// als Protokoll vor der URL steht, die Logindaten werden aber dummerweise nur über http:// übertragen.

Siehe oben.

Beitrag anzeigenZitat (Gispelmob: 28. April 2017 - 08:39)

Auch wenn man über https verbunden ist, heisst das noch lange nicht dass alle Teile der Webseite über https geladen werden. Deswegen ist man sich eben nicht im klaren darüber sondern nimmt nur an dass es so ist..

Unsinn. Wenn der Browser dir anzeigt das es über HTTPS geht und keine Ausrufezeichen etc. in der URLbar sind, bedeutet dies das alles über HTTPS geladen wurde.
"Jene, die grundlegende Freiheit aufgeben würden, um eine geringe vorübergehende Sicherheit zu erwerben,
verdienen weder Freiheit noch Sicherheit." (Benjamin Franklin)


ACTA] | IPRED | SOPA | PIPA | CISPA | INDECT | TPP | TAFTA | Stop CETA + Stop TTIP
> Mein Hells Toolbox CMD Script <
Powered by Goanna
0

#19 Mitglied ist offline   Gispelmob 

  • Gruppe: aktive Mitglieder
  • Beiträge: 688
  • Beigetreten: 14. August 15
  • Reputation: 61

geschrieben 28. April 2017 - 09:35

Beitrag anzeigenZitat (d4rkn3ss4ev3r: 28. April 2017 - 09:04)

Unsinn. Wenn der Browser dir anzeigt das es über HTTPS geht und keine Ausrufezeichen etc. in der URLbar sind, bedeutet dies das alles über HTTPS geladen wurde.

Nur das Grundgerüst der Seite (die index.htm/html/php) wird über das Protokoll geladen welches in der Adresszeile steht. Aber in deren Code stehen Links für Stylesheets, Javascripte, Fonts, Bilder etc. die alle entweder über http oder https geladen werden. Je nachdem ob es relativer oder absoluter Pfad ist oder was der jeweilige Teil benötigt. Bei einer einzelnen Seite macht der Browser zig Verbindungen auf. Die Tage in denen alles von einem Server geladen wurde, die sind schon lange lange vorbei.

Dieser Beitrag wurde von Gispelmob bearbeitet: 28. April 2017 - 09:38

0

#20 Mitglied ist offline   d4rkn3ss4ev3r 

  • Gruppe: aktive Mitglieder
  • Beiträge: 3.826
  • Beigetreten: 03. Januar 09
  • Reputation: 492

geschrieben 28. April 2017 - 09:48

Und? Trotzdem erkennt der Browser das und zeigt es an.
Zumindest so unter Pale Moon. Und Firefox sollte das genauso händeln
"Jene, die grundlegende Freiheit aufgeben würden, um eine geringe vorübergehende Sicherheit zu erwerben,
verdienen weder Freiheit noch Sicherheit." (Benjamin Franklin)


ACTA] | IPRED | SOPA | PIPA | CISPA | INDECT | TPP | TAFTA | Stop CETA + Stop TTIP
> Mein Hells Toolbox CMD Script <
Powered by Goanna
0

#21 Mitglied ist offline   Gispelmob 

  • Gruppe: aktive Mitglieder
  • Beiträge: 688
  • Beigetreten: 14. August 15
  • Reputation: 61

geschrieben 28. April 2017 - 09:57

Auf wenn du es nicht gern hörst. Palemoon ist ein Nischenprodukt und nicht relevant. Keiner der großen Browserhersteller wird sich an so einem kleinen Projekt orientieren.

Wenn Teile einer Seite, vorallem wichtige Teile wie Eingabefelder für Logindaten über unsichere Verbindungen arbeiten, dann muss gewarnt werden. Alles andere ist grob fahrlässig.

Dieser Beitrag wurde von Gispelmob bearbeitet: 28. April 2017 - 09:59

0

#22 Mitglied ist offline   d4rkn3ss4ev3r 

  • Gruppe: aktive Mitglieder
  • Beiträge: 3.826
  • Beigetreten: 03. Januar 09
  • Reputation: 492

geschrieben 28. April 2017 - 10:11

Es wird gewarnt. Hast wohl noch nie in die URLBar geschaut
"Jene, die grundlegende Freiheit aufgeben würden, um eine geringe vorübergehende Sicherheit zu erwerben,
verdienen weder Freiheit noch Sicherheit." (Benjamin Franklin)


ACTA] | IPRED | SOPA | PIPA | CISPA | INDECT | TPP | TAFTA | Stop CETA + Stop TTIP
> Mein Hells Toolbox CMD Script <
Powered by Goanna
0

#23 Mitglied ist offline   Holger_N 

  • Gruppe: aktive Mitglieder
  • Beiträge: 4.055
  • Beigetreten: 11. September 10
  • Reputation: 169

geschrieben 28. April 2017 - 10:25

Beitrag anzeigenZitat (Gispelmob: 28. April 2017 - 08:39)


Auch wenn man über https verbunden ist, heisst das noch lange nicht dass alle Teile der Webseite über https geladen werden. Deswegen ist man sich eben nicht im klaren darüber sondern nimmt nur an dass es so ist. Klarheit bringt erst ein Blick in den Code jeder Webseite.



Es gibt doch im Prinzip nur zwei Möglichkeiten.

A) Ich rufe eine Seite über eine verschlüsselte Verbindung auf und
B) Ich rufe eine Seite über eine unverschlüsselte Verbindung auf

Welche Möglichkeit ich benutze, kann ich am Browser erkennen. Wenn ich nun also Variante B benutze und auch am Browser erkenne, dass ich Variante B benutze, dann brauche ich nicht noch einen Hinweis, dass ich Variante A nicht benutze, denn darüber, dass ich in dem Moment Variante B benutze bin ich mir sehr wohl im Klaren, auch ohne in den Code jeder Seite gucken zu müssen.
Ich bin ein sehr ordentlicher, fleißiger und reinlicher Mensch, nur leider gefangen im Körper eines schmuddeligen Faulpelzes … tja, kann man nix machen …
1

#24 Mitglied ist offline   Gispelmob 

  • Gruppe: aktive Mitglieder
  • Beiträge: 688
  • Beigetreten: 14. August 15
  • Reputation: 61

geschrieben 28. April 2017 - 10:52

Beitrag anzeigenZitat (Holger_N: 28. April 2017 - 10:25)

Es gibt doch im Prinzip nur zwei Möglichkeiten.

Es gibt 6 Möglichkeiten.

- die Seite wird über https geladen, Scripte/Bilder etc. werden über https geladen (sicher)
- die Seite wird über https geladen, Scripte/Bilder werden über http geladen (unsicher)
- die Seite wird über https geladen, Scripte/Bilder etc. werden teilweise über https und teilweise über http geladen (unsicher)

- die Seite wird über http geladen, Scripte/Bilder etc. werden über http geladen (unsicher)
- die Seite wird über http geladen, Scripte/Bilder etc. werden über https geladen (unsicher)
- die Seite wird über http geladen, Scripte/Bilder etc. werden teilweise über https und teilweise über http geladen (unsicher)

Das laden des Grundgerüstes der Seite und das laden der einzelnen Script/Bilder/Fonts/Stylesheets/Media ist vollkommen unabhängig voneinander. Wenn die Seite gut und sicher gemacht ist, läuft entweder alles einzeln über https oder aber es wird alles über einen einzigen Server geladen der über https läuft. Winfuture nutzt z.B. Möglichkeit 6.

Beitrag anzeigenZitat (Holger_N: 28. April 2017 - 10:25)

Wenn ich nun also Variante B benutze und auch am Browser erkenne, dass ich Variante B benutze, dann brauche ich nicht noch einen Hinweis, dass ich Variante A nicht benutze ...

Du gehts von falschen Annahmen aus. Die Warnung bezieht sich nicht darauf ob du Variante A oder B nutzt, sondern darauf dass das Eingabefeld Variante B nutzt (was man nicht erkennen kann ohne in den Code zu schauen) obwohl du die Seite mit Variante A geladen hast.

Edit: Mal sehen wenn der 3. kommt und behauptet mit https als Protokoll in der URL Zeile wäre die ganze Seite sicher.^^

Dieser Beitrag wurde von Gispelmob bearbeitet: 28. April 2017 - 11:10

0

#25 Mitglied ist offline   Holger_N 

  • Gruppe: aktive Mitglieder
  • Beiträge: 4.055
  • Beigetreten: 11. September 10
  • Reputation: 169

geschrieben 28. April 2017 - 11:16

Ich kann eine Seite über https aufrufen - Warnmeldung kommt nicht
ich kann eine Seite über http aufrufen - Warmeldung kommt


Das sind die beiden relevanten Zustände für meine Aussage. Da ändert sich auch dann nichts, wenn Du beide Zustände noch zwanzig mal unterteilst.


Es geht mir in meiner Aussage in Beitrag 16 um Sinn oder Unsinn einer Meldung und nicht um richtig oder falsch. Auch auf die Gefahr hin dass Du den bildlichen Vergleich mal wieder nicht verstehst – wenn an einem Auto welches steht, ein Schild ist, dass dieses Auto gerade nicht fährt, dann ist der Hinweis ja inhaltlich nicht falsch, aber unsinnig, weil es ja offensichtlich ist, dass es steht und nicht fährt. Es ist für diese Feststellung auch unerheblich wie gefährlich oder ungefährlich stehende oder fahrende Autos sind.

Dieser Beitrag wurde von Holger_N bearbeitet: 28. April 2017 - 11:26

Ich bin ein sehr ordentlicher, fleißiger und reinlicher Mensch, nur leider gefangen im Körper eines schmuddeligen Faulpelzes … tja, kann man nix machen …
0

#26 Mitglied ist offline   Gispelmob 

  • Gruppe: aktive Mitglieder
  • Beiträge: 688
  • Beigetreten: 14. August 15
  • Reputation: 61

geschrieben 28. April 2017 - 12:30

Beitrag anzeigenZitat (Holger_N: 28. April 2017 - 11:16)

Ich kann eine Seite über https aufrufen - Warnmeldung kommt nicht
ich kann eine Seite über http aufrufen - Warmeldung kommt

Das sind die beiden relevanten Zustände für meine Aussage. Da ändert sich auch dann nichts, wenn Du beide Zustände noch zwanzig mal unterteilst.

Das ist aber genau dein Trugschluss und der anderer. Eine Seite besteht aus mehr als nur dem Teil den man sieht und wenn eine Seite über https aufgerufen wird, dann erwartet man dass die Seite komplett verschlüsselt ist. Das sehe ich ja ein.

Aber leider ist es nicht immer so, denn es gibt Seiten bei denen Teile der Seite im Hintergrund über http geladen werden und nicht über https wie der sichtbare Teil. Und genau dort greift der Hinweis von Firefox. Wichtig ist dies vorallem bei Eingabefeldern für Zugangsdaten.
0

#27 Mitglied ist offline   d4rkn3ss4ev3r 

  • Gruppe: aktive Mitglieder
  • Beiträge: 3.826
  • Beigetreten: 03. Januar 09
  • Reputation: 492

geschrieben 28. April 2017 - 12:50

Manche begreifen es einfach nicht.
Bist du der deutschen Sprache mächtig oder einfach nur zu arrogant zu lesen?

Der Browser weiß ob externe Elemente geladen werden und ob diese von HTTP/ HTTPS stammen.
Daher kann man auch externe Scripte, Bilder, etc. direkt im Browser verbieten.
"Jene, die grundlegende Freiheit aufgeben würden, um eine geringe vorübergehende Sicherheit zu erwerben,
verdienen weder Freiheit noch Sicherheit." (Benjamin Franklin)


ACTA] | IPRED | SOPA | PIPA | CISPA | INDECT | TPP | TAFTA | Stop CETA + Stop TTIP
> Mein Hells Toolbox CMD Script <
Powered by Goanna
0

#28 Mitglied ist offline   Gispelmob 

  • Gruppe: aktive Mitglieder
  • Beiträge: 688
  • Beigetreten: 14. August 15
  • Reputation: 61

geschrieben 28. April 2017 - 15:39

Beitrag anzeigenZitat (d4rkn3ss4ev3r: 28. April 2017 - 12:50)

Manche begreifen es einfach nicht.

Vielleicht begreifst du erstmal die Forenregeln.

Beitrag anzeigenZitat (d4rkn3ss4ev3r: 28. April 2017 - 12:50)

Daher kann man auch externe Scripte, Bilder, etc. direkt im Browser verbieten.

Was genau hat das mit der zusätzlichen Warnung von Firefox zu tun? Richtig. Nichts.

Dieser Beitrag wurde von Gispelmob bearbeitet: 28. April 2017 - 22:21

0

Thema verteilen:


  • 2 Seiten +
  • 1
  • 2

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0