HTTPS-Login: Seitenbetreiber stört sich an Sicherheit von Firefox

In einem Fehlerbericht an die Entwickler des Firefox-Browsers beschwert sich mutmaßlich der Betreiber einer Webseite darüber, dass der Browser eine Warnung auf dem Login-Feld der Seite anzeigt. Diese Warnung ist allerdings in der aktuellen Version von Firefox Standard und wird in Chrome vorbereitet. Sie erscheint nur, wenn die Seite mit dem Login nicht per HTTPS abgesichert ist.

Diese offensichtliche Unkenntnis sorgt bei vielen Entwicklern für Häme und Belustigung, etwa auf Twitter. Dort hat unter anderem Eric Mill den Link zu dem Bugreport öffentlich geteilt. Auch auf Reddit gibt es eine Diskussion zu dem Bug. Wahrscheinlich deshalb ist der Fehlerbericht auf Betreiben der Firefox-Entwickler inzwischen nicht mehr öffentlich einsehbar. Es gibt jedoch im Netz archivierte Versionen.

Firefox macht es offensichtlich richtig

Bei der betroffenen Seite handelt es sich um jene von Oil and Gas International. Im Fehlerbericht an die Firefox-Hersteller Mozilla heißt es zu der Warnung: "Bitte entfernen Sie diese sofort. Wir haben unser eigenes Sicherheitssystem und es wurde in mehr als 15 Jahren niemals durchbrochen. Ihre Warnung verursacht Besorgnis durch unsere Abonnenten und ist schädlich für unser Geschäft."

Dass Mozilla mit der Warnung im Firefox die Geschäfte anderer Unternehmen schädigen könnte, ist sicher nicht gewollt - wohl aber die Besorgnis der Nutzer der Seite. Immerhin werden die Kunden nun explizit darauf hingewiesen, dass sie ihre vertraulichen Daten unverschlüsselt übertragen und diese somit von Angreifern abgefangen werden könnten. Der Fehlerbericht ist konsequenterweise auch mit der Nachricht Wontfix geschlossen worden. Schließlich wird Mozilla dieses Verhalten zum Schutz der Nutzer nicht ändern.

Gesamte Seite kaputt

Zusätzlich zu dem Bug der fehlenden HTTPS-Verschlüsselung auf der Webseite wird die auch sonst extrem schlechte Konfiguration der Seite öffentlich auseinandergenommen. Auf den beiden Plattformen Twitter und Reddit werden neben weiteren Fehlern etwa auch die extrem überalterte Software, das Speichern von Passwörtern in Klartext sowie die Möglichkeit von sehr einfachen SQL-Injections erörtert.

Letzteres ist wohl genutzt worden, um die darüber erreichbaren Passwörter der Nutzer und die Nutzerdaten selbst aus der Datenbank zu löschen. Möglicherweise hat das sogar zur Verbesserung der Sicherheit der Nutzer geführt, da die Daten nun nicht mehr von böswilligen Angreifern ausgenutzt werden können. Zusätzlich dazu ist auch die Seite für Neukunden zum Abschluss eines Vertrages nicht per HTTPS gesichert, so dass sogar Kreditkartendaten unverschlüsselt übertragen werden.

Das US-Magazin Arstechnica hat eigenen Angaben zufolge versucht, den Betreiber zu erreichen und eine Stellungnahme zu der schlechten Konfiguration sowie zu den geschilderten Vorgängen zu erhalten - bisher allerdings ohne Erfolg. Letzteres könnte auch daran liegen, dass die Anfrage selbst sowie die Diskussion im Web in den USA in den Abendstunden und der vergangenen Nacht stattgefunden haben. Sollte der Admin der Seite die ganze Aufregung tatsächlich verschlafen haben, blüht ihm wohl ein böses Erwachen.