• IT-Karriere:
  • Services:

HTTPS-Login: Seitenbetreiber stört sich an Sicherheit von Firefox

Die Entwickler des Firefox-Browsers haben einen Fehlerbericht erhalten, in dem sich ein Webseitenbetreiber über die Login-Warnung beschwert, die bei fehlendem HTTPS auftritt. Externe Entwickler nehmen das als Anlass für Häme und für Angriffe auf die Seite, um Nutzer zu schützen.

Artikel veröffentlicht am ,
Die Seite von Oil and Gas International ist unsicher und der Firefox zeigt das an.
Die Seite von Oil and Gas International ist unsicher und der Firefox zeigt das an. (Bild: Screenshot: Golem.de)

In einem Fehlerbericht an die Entwickler des Firefox-Browsers beschwert sich mutmaßlich der Betreiber einer Webseite darüber, dass der Browser eine Warnung auf dem Login-Feld der Seite anzeigt. Diese Warnung ist allerdings in der aktuellen Version von Firefox Standard und wird in Chrome vorbereitet. Sie erscheint nur, wenn die Seite mit dem Login nicht per HTTPS abgesichert ist.

Stellenmarkt
  1. Schwarz Dienstleistung KG, Raum Neckarsulm
  2. htp GmbH, Hannover

Diese offensichtliche Unkenntnis sorgt bei vielen Entwicklern für Häme und Belustigung, etwa auf Twitter. Dort hat unter anderem Eric Mill den Link zu dem Bugreport öffentlich geteilt. Auch auf Reddit gibt es eine Diskussion zu dem Bug. Wahrscheinlich deshalb ist der Fehlerbericht auf Betreiben der Firefox-Entwickler inzwischen nicht mehr öffentlich einsehbar. Es gibt jedoch im Netz archivierte Versionen.

Firefox macht es offensichtlich richtig

Bei der betroffenen Seite handelt es sich um jene von Oil and Gas International. Im Fehlerbericht an die Firefox-Hersteller Mozilla heißt es zu der Warnung: "Bitte entfernen Sie diese sofort. Wir haben unser eigenes Sicherheitssystem und es wurde in mehr als 15 Jahren niemals durchbrochen. Ihre Warnung verursacht Besorgnis durch unsere Abonnenten und ist schädlich für unser Geschäft."

Dass Mozilla mit der Warnung im Firefox die Geschäfte anderer Unternehmen schädigen könnte, ist sicher nicht gewollt - wohl aber die Besorgnis der Nutzer der Seite. Immerhin werden die Kunden nun explizit darauf hingewiesen, dass sie ihre vertraulichen Daten unverschlüsselt übertragen und diese somit von Angreifern abgefangen werden könnten. Der Fehlerbericht ist konsequenterweise auch mit der Nachricht Wontfix geschlossen worden. Schließlich wird Mozilla dieses Verhalten zum Schutz der Nutzer nicht ändern.

Gesamte Seite kaputt

Zusätzlich zu dem Bug der fehlenden HTTPS-Verschlüsselung auf der Webseite wird die auch sonst extrem schlechte Konfiguration der Seite öffentlich auseinandergenommen. Auf den beiden Plattformen Twitter und Reddit werden neben weiteren Fehlern etwa auch die extrem überalterte Software, das Speichern von Passwörtern in Klartext sowie die Möglichkeit von sehr einfachen SQL-Injections erörtert.

Letzteres ist wohl genutzt worden, um die darüber erreichbaren Passwörter der Nutzer und die Nutzerdaten selbst aus der Datenbank zu löschen. Möglicherweise hat das sogar zur Verbesserung der Sicherheit der Nutzer geführt, da die Daten nun nicht mehr von böswilligen Angreifern ausgenutzt werden können. Zusätzlich dazu ist auch die Seite für Neukunden zum Abschluss eines Vertrages nicht per HTTPS gesichert, so dass sogar Kreditkartendaten unverschlüsselt übertragen werden.

Das US-Magazin Arstechnica hat eigenen Angaben zufolge versucht, den Betreiber zu erreichen und eine Stellungnahme zu der schlechten Konfiguration sowie zu den geschilderten Vorgängen zu erhalten - bisher allerdings ohne Erfolg. Letzteres könnte auch daran liegen, dass die Anfrage selbst sowie die Diskussion im Web in den USA in den Abendstunden und der vergangenen Nacht stattgefunden haben. Sollte der Admin der Seite die ganze Aufregung tatsächlich verschlafen haben, blüht ihm wohl ein böses Erwachen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. Crysis 3 für 4,99€, Battlefield 4 für 4,99€, Titanfall 2 für 4,99€)
  2. (u. a. 3er Pack Lüfter LL120 RGB für 102,90€, Crystal 680X RGB Gehäuse für 249,90€)
  3. (aktuell u. a. Creative Sound BlasterX G1 Soundkarte für 29,90€, Intenso Top 512 GB SSD für 52...

der_wahre_hannes 05. Mai 2017

Aber sonst sind die SQL-Injections von der Seite verschwunden. Allerdings gibt es immer...

der_wahre_hannes 23. Mär 2017

Tja, das stimmt. Gerade in der Softwareentwicklung wird einem immer wieder schmerzlich...

der_wahre_hannes 23. Mär 2017

Dunning-Kruger. Er selbst wusste nicht, dass er Mist baut und es fehlte ihm die tiefere...

der_wahre_hannes 23. Mär 2017

Ähm, nein. Es ist schon wichtig zu wissen, woran genau eine Konvertierung scheitert. Mir...

My1 23. Mär 2017

schonmal chrome angeschaut? da steht sogar ein "sicher" in der zeile. und das Problem...


Folgen Sie uns
       


Digitale Assistenten singen Weihnachtslieder (ohne Signalworte)

Wir haben Siri, den Google Assistant und Alexa aufgefordert, uns zu Weihnachten etwas vorzusingen.

Digitale Assistenten singen Weihnachtslieder (ohne Signalworte) Video aufrufen
Geforce Now im Test: Nvidia nutzt einzigartige CPU und GPU
Geforce Now im Test
Nvidia nutzt einzigartige CPU und GPU

Wer mit Nvidias Geforce Now spielt, bekommt laut Performance Overlay eine RTX 2060c oder RTX 2080c, tatsächlich aber werden eine Tesla RTX T10 als Grafikkarte und ein Intel CC150 als Prozessor verwendet. Die Performance ist auf die jeweiligen Spiele abgestimmt, vor allem mit Raytracing.
Ein Test von Marc Sauter

  1. Cloud Gaming Activision Blizzard zieht Spiele von Geforce Now zurück
  2. Nvidia-Spiele-Streaming Geforce Now kostet 5,49 Euro pro Monat
  3. Geforce Now Nvidias Cloud-Gaming-Dienst kommt noch 2019 für Android

Nitropad im Test: Ein sicherer Laptop, der im Alltag kaum nervt
Nitropad im Test
Ein sicherer Laptop, der im Alltag kaum nervt

Das Nitropad schützt vor Bios-Rootkits oder Evil-Maid-Angriffen. Dazu setzt es auf die freie Firmware Coreboot, die mit einem Nitrokey überprüft wird. Das ist im Alltag erstaunlich einfach, nur Updates werden etwas aufwendiger.
Ein Praxistest von Moritz Tremmel und Sebastian Grüner

  1. Nitropad X230 Nitrokey veröffentlicht abgesicherten Laptop
  2. LVFS Coreboot-Updates sollen nutzerfreundlich werden
  3. Linux-Laptop System 76 verkauft zwei Laptops mit Coreboot

Galaxy-S20-Serie im Hands-on: Samsung will im Kameravergleich an die Spitze
Galaxy-S20-Serie im Hands-on
Samsung will im Kameravergleich an die Spitze

Mit der neuen Galaxy-S20-Serie verbaut Samsung erstmals seine eigenen Isocell-Kamerasensoren mit hoher Auflösung, auch im Zoombereich eifert der Hersteller der chinesischen Konkurrenz nach. Wer die beste Kamera will, muss allerdings zum sehr großen und vor allem wohl teuren Ultra-Modell greifen.
Ein Hands on von Tobias Költzsch, Peter Steinlechner und Martin Wolf

  1. Micro-LED-Bildschirm Samsung erweitert The Wall auf 583 Zoll
  2. Nach 10 kommt 20 Erste Details zum Nachfolger des Galaxy S10
  3. Vorinstallierte App Samsung-Smartphones schicken Daten an chinesische Firma

    •  /