Abo
  • Services:
Anzeige
Die Seite von Oil and Gas International ist unsicher und der Firefox zeigt das an.
Die Seite von Oil and Gas International ist unsicher und der Firefox zeigt das an. (Bild: Screenshot: Golem.de)

HTTPS-Login: Seitenbetreiber stört sich an Sicherheit von Firefox

Die Seite von Oil and Gas International ist unsicher und der Firefox zeigt das an.
Die Seite von Oil and Gas International ist unsicher und der Firefox zeigt das an. (Bild: Screenshot: Golem.de)

Die Entwickler des Firefox-Browsers haben einen Fehlerbericht erhalten, in dem sich ein Webseitenbetreiber über die Login-Warnung beschwert, die bei fehlendem HTTPS auftritt. Externe Entwickler nehmen das als Anlass für Häme und für Angriffe auf die Seite, um Nutzer zu schützen.

In einem Fehlerbericht an die Entwickler des Firefox-Browsers beschwert sich mutmaßlich der Betreiber einer Webseite darüber, dass der Browser eine Warnung auf dem Login-Feld der Seite anzeigt. Diese Warnung ist allerdings in der aktuellen Version von Firefox Standard und wird in Chrome vorbereitet. Sie erscheint nur, wenn die Seite mit dem Login nicht per HTTPS abgesichert ist.

Anzeige

Diese offensichtliche Unkenntnis sorgt bei vielen Entwicklern für Häme und Belustigung, etwa auf Twitter. Dort hat unter anderem Eric Mill den Link zu dem Bugreport öffentlich geteilt. Auch auf Reddit gibt es eine Diskussion zu dem Bug. Wahrscheinlich deshalb ist der Fehlerbericht auf Betreiben der Firefox-Entwickler inzwischen nicht mehr öffentlich einsehbar. Es gibt jedoch im Netz archivierte Versionen.

Firefox macht es offensichtlich richtig

Bei der betroffenen Seite handelt es sich um jene von Oil and Gas International. Im Fehlerbericht an die Firefox-Hersteller Mozilla heißt es zu der Warnung: "Bitte entfernen Sie diese sofort. Wir haben unser eigenes Sicherheitssystem und es wurde in mehr als 15 Jahren niemals durchbrochen. Ihre Warnung verursacht Besorgnis durch unsere Abonnenten und ist schädlich für unser Geschäft."

Dass Mozilla mit der Warnung im Firefox die Geschäfte anderer Unternehmen schädigen könnte, ist sicher nicht gewollt - wohl aber die Besorgnis der Nutzer der Seite. Immerhin werden die Kunden nun explizit darauf hingewiesen, dass sie ihre vertraulichen Daten unverschlüsselt übertragen und diese somit von Angreifern abgefangen werden könnten. Der Fehlerbericht ist konsequenterweise auch mit der Nachricht Wontfix geschlossen worden. Schließlich wird Mozilla dieses Verhalten zum Schutz der Nutzer nicht ändern.

Gesamte Seite kaputt

Zusätzlich zu dem Bug der fehlenden HTTPS-Verschlüsselung auf der Webseite wird die auch sonst extrem schlechte Konfiguration der Seite öffentlich auseinandergenommen. Auf den beiden Plattformen Twitter und Reddit werden neben weiteren Fehlern etwa auch die extrem überalterte Software, das Speichern von Passwörtern in Klartext sowie die Möglichkeit von sehr einfachen SQL-Injections erörtert.

Letzteres ist wohl genutzt worden, um die darüber erreichbaren Passwörter der Nutzer und die Nutzerdaten selbst aus der Datenbank zu löschen. Möglicherweise hat das sogar zur Verbesserung der Sicherheit der Nutzer geführt, da die Daten nun nicht mehr von böswilligen Angreifern ausgenutzt werden können. Zusätzlich dazu ist auch die Seite für Neukunden zum Abschluss eines Vertrages nicht per HTTPS gesichert, so dass sogar Kreditkartendaten unverschlüsselt übertragen werden.

Das US-Magazin Arstechnica hat eigenen Angaben zufolge versucht, den Betreiber zu erreichen und eine Stellungnahme zu der schlechten Konfiguration sowie zu den geschilderten Vorgängen zu erhalten - bisher allerdings ohne Erfolg. Letzteres könnte auch daran liegen, dass die Anfrage selbst sowie die Diskussion im Web in den USA in den Abendstunden und der vergangenen Nacht stattgefunden haben. Sollte der Admin der Seite die ganze Aufregung tatsächlich verschlafen haben, blüht ihm wohl ein böses Erwachen.


eye home zur Startseite
der_wahre_hannes 05. Mai 2017

Aber sonst sind die SQL-Injections von der Seite verschwunden. Allerdings gibt es immer...

der_wahre_hannes 23. Mär 2017

Tja, das stimmt. Gerade in der Softwareentwicklung wird einem immer wieder schmerzlich...

der_wahre_hannes 23. Mär 2017

Dunning-Kruger. Er selbst wusste nicht, dass er Mist baut und es fehlte ihm die tiefere...

der_wahre_hannes 23. Mär 2017

Ähm, nein. Es ist schon wichtig zu wissen, woran genau eine Konvertierung scheitert. Mir...

My1 23. Mär 2017

schonmal chrome angeschaut? da steht sogar ein "sicher" in der zeile. und das Problem...



Anzeige

Stellenmarkt
  1. Jetter AG, Ludwigsburg
  2. Daimler AG, Stuttgart
  3. Schwarz Business IT GmbH & Co. KG, Neckarsulm
  4. Robert Bosch GmbH, Stuttgart-Feuerbach


Anzeige
Top-Angebote
  1. 13,49€
  2. 8,49€

Folgen Sie uns
       


  1. Bildbearbeitung

    Google-Algorithmus entfernt Wasserzeichen auf Fotos

  2. Ladestationen

    Regierung lehnt Zwangsverkabelung von Tiefgaragen ab

  3. Raspberry Pi

    Raspbian auf Stretch upgedated

  4. Trotz Förderung

    Breitbandausbau kommt nur schleppend voran

  5. Nvidia

    Keine Volta-basierten Geforces in 2017

  6. Grafikkarte

    Sonnets eGFX Breakaway Box kostet 330 Euro

  7. E-Commerce

    Kartellamt will Online-Shops des Einzelhandels schützen

  8. id Software

    Quake Champions startet in den Early Access

  9. Betrug

    Verbraucherzentrale warnt vor gefälschten Youporn-Mahnungen

  10. Lenovo

    Smartphone- und Servergeschäft sorgen für Verlust



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Starcraft Remastered: "Mit den Protoss kann man seinen Gegner richtig nerven!"
Starcraft Remastered
"Mit den Protoss kann man seinen Gegner richtig nerven!"
  1. Blizzard Der Name Battle.net bleibt
  2. Blizzard Overwatch bekommt Deathmatches
  3. E-Sport Blizzard nutzt Gamescom für europäische WoW-Finalspiele

Game of Thrones: Die Kunst, Fiktion mit Wirklichkeit zu verschmelzen
Game of Thrones
Die Kunst, Fiktion mit Wirklichkeit zu verschmelzen
  1. HBO Nächste Episode von Game of Thrones geleakt
  2. Hack Game-of-Thrones-Skript von HBO geleakt
  3. Game of Thrones "Der Winter ist da und hat leider unsere Server eingefroren"

Radeon RX Vega 64 im Test: Schnell und durstig mit Potenzial
Radeon RX Vega 64 im Test
Schnell und durstig mit Potenzial
  1. Radeon RX Vega Mining-Treiber steigert MH/s deutlich
  2. Radeon RX Vega 56 im Test AMD positioniert sich in der Mitte
  3. Workstation AMD bringt Radeon Pro WX 9100

  1. Re: "Terroranschlag"

    SelfEsteem | 15:02

  2. Re: später werden wir gar keine eigenen Autos...

    jo-1 | 15:01

  3. Re: Häuser brauchen auch keine Treppe

    devarni | 15:01

  4. Re: Ich bin für die zwangsweise Verlegung der...

    Prinzeumel | 14:49

  5. Re: Sinn

    Friedhelm | 14:42


  1. 14:38

  2. 12:42

  3. 11:59

  4. 11:21

  5. 17:56

  6. 16:20

  7. 15:30

  8. 15:07


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel