Abo
  • Services:
Anzeige
Die Seite von Oil and Gas International ist unsicher und der Firefox zeigt das an.
Die Seite von Oil and Gas International ist unsicher und der Firefox zeigt das an. (Bild: Screenshot: Golem.de)

HTTPS-Login: Seitenbetreiber stört sich an Sicherheit von Firefox

Die Seite von Oil and Gas International ist unsicher und der Firefox zeigt das an.
Die Seite von Oil and Gas International ist unsicher und der Firefox zeigt das an. (Bild: Screenshot: Golem.de)

Die Entwickler des Firefox-Browsers haben einen Fehlerbericht erhalten, in dem sich ein Webseitenbetreiber über die Login-Warnung beschwert, die bei fehlendem HTTPS auftritt. Externe Entwickler nehmen das als Anlass für Häme und für Angriffe auf die Seite, um Nutzer zu schützen.

In einem Fehlerbericht an die Entwickler des Firefox-Browsers beschwert sich mutmaßlich der Betreiber einer Webseite darüber, dass der Browser eine Warnung auf dem Login-Feld der Seite anzeigt. Diese Warnung ist allerdings in der aktuellen Version von Firefox Standard und wird in Chrome vorbereitet. Sie erscheint nur, wenn die Seite mit dem Login nicht per HTTPS abgesichert ist.

Anzeige

Diese offensichtliche Unkenntnis sorgt bei vielen Entwicklern für Häme und Belustigung, etwa auf Twitter. Dort hat unter anderem Eric Mill den Link zu dem Bugreport öffentlich geteilt. Auch auf Reddit gibt es eine Diskussion zu dem Bug. Wahrscheinlich deshalb ist der Fehlerbericht auf Betreiben der Firefox-Entwickler inzwischen nicht mehr öffentlich einsehbar. Es gibt jedoch im Netz archivierte Versionen.

Firefox macht es offensichtlich richtig

Bei der betroffenen Seite handelt es sich um jene von Oil and Gas International. Im Fehlerbericht an die Firefox-Hersteller Mozilla heißt es zu der Warnung: "Bitte entfernen Sie diese sofort. Wir haben unser eigenes Sicherheitssystem und es wurde in mehr als 15 Jahren niemals durchbrochen. Ihre Warnung verursacht Besorgnis durch unsere Abonnenten und ist schädlich für unser Geschäft."

Dass Mozilla mit der Warnung im Firefox die Geschäfte anderer Unternehmen schädigen könnte, ist sicher nicht gewollt - wohl aber die Besorgnis der Nutzer der Seite. Immerhin werden die Kunden nun explizit darauf hingewiesen, dass sie ihre vertraulichen Daten unverschlüsselt übertragen und diese somit von Angreifern abgefangen werden könnten. Der Fehlerbericht ist konsequenterweise auch mit der Nachricht Wontfix geschlossen worden. Schließlich wird Mozilla dieses Verhalten zum Schutz der Nutzer nicht ändern.

Gesamte Seite kaputt

Zusätzlich zu dem Bug der fehlenden HTTPS-Verschlüsselung auf der Webseite wird die auch sonst extrem schlechte Konfiguration der Seite öffentlich auseinandergenommen. Auf den beiden Plattformen Twitter und Reddit werden neben weiteren Fehlern etwa auch die extrem überalterte Software, das Speichern von Passwörtern in Klartext sowie die Möglichkeit von sehr einfachen SQL-Injections erörtert.

Letzteres ist wohl genutzt worden, um die darüber erreichbaren Passwörter der Nutzer und die Nutzerdaten selbst aus der Datenbank zu löschen. Möglicherweise hat das sogar zur Verbesserung der Sicherheit der Nutzer geführt, da die Daten nun nicht mehr von böswilligen Angreifern ausgenutzt werden können. Zusätzlich dazu ist auch die Seite für Neukunden zum Abschluss eines Vertrages nicht per HTTPS gesichert, so dass sogar Kreditkartendaten unverschlüsselt übertragen werden.

Das US-Magazin Arstechnica hat eigenen Angaben zufolge versucht, den Betreiber zu erreichen und eine Stellungnahme zu der schlechten Konfiguration sowie zu den geschilderten Vorgängen zu erhalten - bisher allerdings ohne Erfolg. Letzteres könnte auch daran liegen, dass die Anfrage selbst sowie die Diskussion im Web in den USA in den Abendstunden und der vergangenen Nacht stattgefunden haben. Sollte der Admin der Seite die ganze Aufregung tatsächlich verschlafen haben, blüht ihm wohl ein böses Erwachen.


eye home zur Startseite
der_wahre_hannes 05. Mai 2017

Aber sonst sind die SQL-Injections von der Seite verschwunden. Allerdings gibt es immer...

der_wahre_hannes 23. Mär 2017

Tja, das stimmt. Gerade in der Softwareentwicklung wird einem immer wieder schmerzlich...

der_wahre_hannes 23. Mär 2017

Dunning-Kruger. Er selbst wusste nicht, dass er Mist baut und es fehlte ihm die tiefere...

der_wahre_hannes 23. Mär 2017

Ähm, nein. Es ist schon wichtig zu wissen, woran genau eine Konvertierung scheitert. Mir...

My1 23. Mär 2017

schonmal chrome angeschaut? da steht sogar ein "sicher" in der zeile. und das Problem...



Anzeige

Stellenmarkt
  1. TeamViewer GmbH, Großraum Stuttgart / Göppingen
  2. Gasunie Deutschland Services GmbH, Hannover
  3. Deutsche Nationalbibliothek, Frankfurt am Main
  4. über Hays AG, Berlin


Anzeige
Top-Angebote
  1. 399,00€
  2. (u. a. Echo 79,99€ statt 99,99€, Echo Dot 34,99€ statt 59,99€, Fire TV Stick 24,99€ statt...
  3. (u. a. 480-GB-SSD 122,00€ (Vergleichspreis ab 137,24€), 16-GB-USB-Stick 6,99€, 64-GB-USB...

Folgen Sie uns
       


  1. FTTH

    Deutsche Glasfaser kommt im ländlichen Bayern weiter

  2. Druck der Filmwirtschaft

    EU-Parlament verteidigt Geoblocking bei Fernsehsendern

  3. Fritzbox

    In Bochum beginnen Gigabit-Nutzertests von Unitymedia

  4. PC

    Geld für Intel Inside wird stark gekürzt

  5. Firmware

    Intel will ME-Downgrade-Attacken in Hardware verhindern

  6. Airgig

    AT&T testet 1 GBit/s an Überlandleitungen

  7. Zenfone 4 Pro

    Asus' Top-Smartphone kostet 850 Euro

  8. Archäologie

    Miniluftschiff soll Kammer in der Cheops-Pyramide erkunden

  9. Lohn

    Streik bei Amazon an zwei Standorten

  10. Vorratsdatenspeicherung

    Die Groko funktioniert schon wieder



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
2-Minuten-Counter gegen Schwarzfahrer: Das sekundengenaue Handyticket ist möglich
2-Minuten-Counter gegen Schwarzfahrer
Das sekundengenaue Handyticket ist möglich
  1. Handy-Ticket in Berlin BVG will Check-in/Be-out-System in Bussen testen
  2. VBB Schwarzfahrer trotz Handy-Ticket

Kilopower: Ein Kernreaktor für Raumsonden
Kilopower
Ein Kernreaktor für Raumsonden
  1. Raumfahrt Nasa zündet Voyager-Triebwerke nach 37 Jahren
  2. Bake in Space Bloß keine Krümel auf der ISS
  3. Raumfahrtpionier Der Mann, der lange vor SpaceX günstige Raketen entwickelte

Kingdom Come Deliverance angespielt: Und täglich grüßt das Mittelalter
Kingdom Come Deliverance angespielt
Und täglich grüßt das Mittelalter

  1. Re: Alle Jahre wieder

    AllDayPiano | 06:45

  2. Re: Glonn hat's auch bitter Nötig...

    Mixermachine | 06:39

  3. Re: oukitel k10000 max

    ve2000 | 06:37

  4. Re: Enttäuschend für die Urheber?

    Alanin | 06:15

  5. Re: AMD kaufen

    Michael0712 | 06:02


  1. 17:01

  2. 16:38

  3. 16:00

  4. 15:29

  5. 15:16

  6. 14:50

  7. 14:25

  8. 14:08


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel