Abo
  • Services:
Anzeige
Die Seite von Oil and Gas International ist unsicher und der Firefox zeigt das an.
Die Seite von Oil and Gas International ist unsicher und der Firefox zeigt das an. (Bild: Screenshot: Golem.de)

HTTPS-Login: Seitenbetreiber stört sich an Sicherheit von Firefox

Die Seite von Oil and Gas International ist unsicher und der Firefox zeigt das an.
Die Seite von Oil and Gas International ist unsicher und der Firefox zeigt das an. (Bild: Screenshot: Golem.de)

Die Entwickler des Firefox-Browsers haben einen Fehlerbericht erhalten, in dem sich ein Webseitenbetreiber über die Login-Warnung beschwert, die bei fehlendem HTTPS auftritt. Externe Entwickler nehmen das als Anlass für Häme und für Angriffe auf die Seite, um Nutzer zu schützen.

In einem Fehlerbericht an die Entwickler des Firefox-Browsers beschwert sich mutmaßlich der Betreiber einer Webseite darüber, dass der Browser eine Warnung auf dem Login-Feld der Seite anzeigt. Diese Warnung ist allerdings in der aktuellen Version von Firefox Standard und wird in Chrome vorbereitet. Sie erscheint nur, wenn die Seite mit dem Login nicht per HTTPS abgesichert ist.

Anzeige

Diese offensichtliche Unkenntnis sorgt bei vielen Entwicklern für Häme und Belustigung, etwa auf Twitter. Dort hat unter anderem Eric Mill den Link zu dem Bugreport öffentlich geteilt. Auch auf Reddit gibt es eine Diskussion zu dem Bug. Wahrscheinlich deshalb ist der Fehlerbericht auf Betreiben der Firefox-Entwickler inzwischen nicht mehr öffentlich einsehbar. Es gibt jedoch im Netz archivierte Versionen.

Firefox macht es offensichtlich richtig

Bei der betroffenen Seite handelt es sich um jene von Oil and Gas International. Im Fehlerbericht an die Firefox-Hersteller Mozilla heißt es zu der Warnung: "Bitte entfernen Sie diese sofort. Wir haben unser eigenes Sicherheitssystem und es wurde in mehr als 15 Jahren niemals durchbrochen. Ihre Warnung verursacht Besorgnis durch unsere Abonnenten und ist schädlich für unser Geschäft."

Dass Mozilla mit der Warnung im Firefox die Geschäfte anderer Unternehmen schädigen könnte, ist sicher nicht gewollt - wohl aber die Besorgnis der Nutzer der Seite. Immerhin werden die Kunden nun explizit darauf hingewiesen, dass sie ihre vertraulichen Daten unverschlüsselt übertragen und diese somit von Angreifern abgefangen werden könnten. Der Fehlerbericht ist konsequenterweise auch mit der Nachricht Wontfix geschlossen worden. Schließlich wird Mozilla dieses Verhalten zum Schutz der Nutzer nicht ändern.

Gesamte Seite kaputt

Zusätzlich zu dem Bug der fehlenden HTTPS-Verschlüsselung auf der Webseite wird die auch sonst extrem schlechte Konfiguration der Seite öffentlich auseinandergenommen. Auf den beiden Plattformen Twitter und Reddit werden neben weiteren Fehlern etwa auch die extrem überalterte Software, das Speichern von Passwörtern in Klartext sowie die Möglichkeit von sehr einfachen SQL-Injections erörtert.

Letzteres ist wohl genutzt worden, um die darüber erreichbaren Passwörter der Nutzer und die Nutzerdaten selbst aus der Datenbank zu löschen. Möglicherweise hat das sogar zur Verbesserung der Sicherheit der Nutzer geführt, da die Daten nun nicht mehr von böswilligen Angreifern ausgenutzt werden können. Zusätzlich dazu ist auch die Seite für Neukunden zum Abschluss eines Vertrages nicht per HTTPS gesichert, so dass sogar Kreditkartendaten unverschlüsselt übertragen werden.

Das US-Magazin Arstechnica hat eigenen Angaben zufolge versucht, den Betreiber zu erreichen und eine Stellungnahme zu der schlechten Konfiguration sowie zu den geschilderten Vorgängen zu erhalten - bisher allerdings ohne Erfolg. Letzteres könnte auch daran liegen, dass die Anfrage selbst sowie die Diskussion im Web in den USA in den Abendstunden und der vergangenen Nacht stattgefunden haben. Sollte der Admin der Seite die ganze Aufregung tatsächlich verschlafen haben, blüht ihm wohl ein böses Erwachen.


eye home zur Startseite
lander100 10. Apr 2017

http://www.oilandgasinternational.com/default.aspx Die haben den Server darunter...

Themenstart

der_wahre_hannes 23. Mär 2017

Tja, das stimmt. Gerade in der Softwareentwicklung wird einem immer wieder schmerzlich...

Themenstart

der_wahre_hannes 23. Mär 2017

Dunning-Kruger. Er selbst wusste nicht, dass er Mist baut und es fehlte ihm die tiefere...

Themenstart

der_wahre_hannes 23. Mär 2017

Ähm, nein. Es ist schon wichtig zu wissen, woran genau eine Konvertierung scheitert. Mir...

Themenstart

My1 23. Mär 2017

schonmal chrome angeschaut? da steht sogar ein "sicher" in der zeile. und das Problem...

Themenstart

Kommentieren



Anzeige

Stellenmarkt
  1. domainfactory GmbH, Ismaning
  2. BG-Phoenics GmbH, München
  3. RA Consulting GmbH, Bruchsal
  4. T-Systems International GmbH, Berlin, Bonn


Anzeige
Hardware-Angebote
  1. ab 192,90€ bei Alternate gelistet
  2. 18,90€
  3. 39,99€

Folgen Sie uns
       


  1. Privacy Phone

    John McAfee stellt fragwürdiges Smartphone vor

  2. Hacon

    Siemens übernimmt Software-Anbieter aus Hannover

  3. Quartalszahlen

    Intel bestätigt Skylake-Xeons für Sommer 2017

  4. Sony

    20 Millionen Playstation im Geschäftsjahr verkauft

  5. Razer Lancehead

    Symmetrische 16.000-dpi-Maus läuft ohne Cloud-Zwang

  6. TV

    SD-Abschaltung kommt auch bei Satellitenfernsehen

  7. ZBook G4

    HP stellt Grafiker-Workstations für unterwegs vor

  8. Messenger Lite

    Facebook bringt abgespeckte Messenger-App nach Deutschland

  9. Intel

    Edison-Module und Arduino-Board werden eingestellt

  10. Linux-Distribution

    Debian 9 verzichtet auf Secure-Boot-Unterstützung



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mario Kart 8 Deluxe im Test: Ehrenrunde mit Ballon-Knaller, HD Rumble und Super-Turbo
Mario Kart 8 Deluxe im Test
Ehrenrunde mit Ballon-Knaller, HD Rumble und Super-Turbo
  1. Hybridkonsole Nintendo verkauft im ersten Monat 2,74 Millionen Switch
  2. Nintendo Switch Verkaufszahlen in den USA nahe der Millionengrenze
  3. Nintendo Von Mario-Minecraft bis zu gelben dicken Joy-Cons

Bonaverde: Von einem, den das Kaffeerösten das Fürchten lehrte
Bonaverde
Von einem, den das Kaffeerösten das Fürchten lehrte
  1. Google Alphabet macht weit über 5 Milliarden Dollar Gewinn
  2. Insolvenz Weniger Mitarbeiter und teure Supportverträge bei Protonet
  3. Jungunternehmer Über 3.000 deutsche Startups gingen 2016 pleite

Noonee: Exoskelett ermöglicht Sitzen ohne Stuhl
Noonee
Exoskelett ermöglicht Sitzen ohne Stuhl

  1. Re: Nach Abschaltung kostenfrei?

    ve2000 | 03:31

  2. Re: Freizeit

    Vaako | 03:18

  3. Re: Und wird es Windows7-Treiber geben?

    JouMxyzptlk | 03:13

  4. Re: Hardwareschalter sind prinzipiell was gutes

    Thiesi | 03:06

  5. halb so wild!

    cicero | 03:01


  1. 18:05

  2. 17:30

  3. 17:08

  4. 16:51

  5. 16:31

  6. 16:10

  7. 16:00

  8. 15:26


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel