17 Reaktionen

Firefox 49 nutzt HTTP-Passwörter auf HTTPS-Webseiten

Geschätzte Lesedauer:

Immer mehr Webseiten stellen von einer unverschlüsselten HTTP- auf eine verschlüsselte HTTPS-Übertragung um. Für die Nutzer ist das eine gute Sache, bedeutet bisher allerdings auch, dass über HTTP gespeicherte Passwörter nicht automatisch auf der HTTPS-Version zur Verfügung stehen. Dies ändert sich ab Firefox 49.

Firefox besitzt einen Passwortmanager, welcher beim Merken von Passwörtern hilft. Bislang unterscheidet Firefox zwischen HTTP und HTTPS, das heißt, dass die gleiche Domain unter HTTP und HTTPS jeweils einen eigenen Eintrag im Passwortmanager darstellt und wenn eine Seite bislang nur über HTTP erreichbar war, gespeicherte Zugangsdaten nach der Umstellung der Webseite von HTTP auf HTTPS nicht automatisch vorgeschlagen werden.

Ab Firefox 49 stehen die HTTP-Passwörter auch für die HTTPS-Version der gleichen Domain zur Verfügung. Die Änderung gilt nicht für den umgekehrten Fall: über HTTPS gespeicherte Passwörter stehen aus Sicherheitsgründen weiterhin nicht automatisch für die HTTP-Version einer Webseite zur Verfügung. Aus dem gleichen Grund werden Passwort-Änderungen bei der HTTPS-Version einer Webseite auch weiterhin nicht automatisch für die HTTP-Version mit gespeichert.

Dieser Artikel wurde von Sören Hentzschel verfasst.

Sören Hentzschel ist Webentwickler und Mozilla Repräsentant (Alumnus). Neben diesem Mozilla-Blog betreibt er unter anderem noch firefoxosdevices.org sowie das Fußball-Portal Soccer-Zone und ist außerdem Administrator des deutschsprachigen Firefox Hilfeforums Camp Firefox.

16 Kommentare - bis jetzt!

Eigenen Kommentar verfassen
  1. nym
    schrieb am :

    Nice little thing.

  2. Markus
    schrieb am :

    Hi,

    kann man den Passwortmanager eigentlich irgendwie so einstellen das er das Master Passwort nur abfragt wenn man die Passwörter einsehen will?

    Bei jedem Start eingeben ist mir zu übertrieben.

     

  3. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Nutzt du Sync? Denn dann nutzt du ja bei jedem Start die Passwörter.

  4. Name ....
    schrieb am :

    Das ist wirklich sinnvoll. Gleiches sollte aber auch für die gesamte URL gelten.

    Ich habe mich schon oft darüber "geärgert", dass ein Passwort das auf http://www.domain.com gespeichert wurde nicht auf domain.com oder m.domain.com (m für mobile) funktioniert. So habe ich einige Passwörter im Passwortmanager doppelt.

  5. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Es lässt sich aber nicht allgemein ableiten, dass unterschiedliche Subdomains die gleichen Zugangsdaten verwenden sollten.

  6. kraz
    schrieb am :

    Wobei es ja Bestrebungen gibt dass man Domains für Logins als Gruppe zusammenfassen kann.
    Gab da sogar nen Bug für
    https://bugzilla.mozilla.org/show_bug.cgi?id=494593

  7. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Bestrebungen gibt es keine. Das Ticket ist ein vor sieben Jahren eingereichter Vorschlag eines Nutzers. Vor zwei Jahren gab es ein paar wenige Kommentare dazu und seit dem ist auch wieder gar nichts passiert.

  8. Kn0p3XX
    schrieb am :

    Gilt das auch umgekehrt? Sollte in der Regel nicht so sein, aber hatte es mal erlebt, dass jemand von HTTPS auf HTTP wieder umgestiegen ist. 🙁

  9. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Siehe Artikel:

    Die Änderung gilt nicht für den umgekehrten Fall: über HTTPS gespeicherte Passwörter stehen aus Sicherheitsgründen weiterhin nicht automatisch für die HTTP-Version einer Webseite zur Verfügung.

    😉

  10. Kn0p3XX
    schrieb am :

    Danke. Hups, da hab ich mal wieder nicht genau hingeschaut.

  11. Markus
    schrieb am :

    Hi,

    also der kommentar rss hat ne ganz schöne Verspätung gehabt.

     

    Nö, benutze kein sync. Und ich dachte da eigentlich an Thunderbird. Der verlangt beim start das Master Passwort.

  12. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Was hat Thunderbird denn mit diesem Artikel zu tun? Da geht es ja nicht einmal um das gleiche Produkt… Aber auch Thunderbird greift logischerweise beim Programmstart auf die Passwörter zu, um neue E-Mails abzurufen.

  13. Markus
    schrieb am :

    Ich ging davon aus das die Passwort Manager von Fx und Tb aus dem gleichen Code bestehen.

    So wie du reagierst scheint das falsch zu sein. Sorry, vergiss es einfach.

  14. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Es hat einfach überhaupt nichts mit dem Artikel zu tun. Und dennoch habe ich dir ja geantwortet.

  15. foobar
    schrieb am :

    Bei der selben Domain können doch auf Port 80 und 443 ganz andere Inhalte ausgeliefert werden!? Das war zum Beispiel bis vor Kurzem auf forbes.com so (inzwischen ist 443 aber einfach ein Redirect auf 80).

    Viele Firmenwebsites haben zum Beispiel auf dem 443 den Backend-Login zu ihrem CMS, und das Frontend (wo es auch Frontend-Logins geben kann) auf 80. Wie unterscheidet FF da, wenn ich pro Port verschiedene Logins auf derselben Domain hinterlegt habe?

    Naja, mir persönlich kann es egal sein, meine Passwörter werden nur in meinen eigenen biologischen Synapsen gespeichert. 😉

  16. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Theoretisch ist das möglich, in der Praxis ist das sehr, sehr viel seltener als dass es sich entweder um den komplett gleichen Inhalt handelt oder es nur entweder das eine oder das andere gibt. Da ich keine Seite kenne, die das so handhabt, kann ich nichts dazu sagen, wie Firefox sich da verhält.

Und jetzt du! Deine Meinung?

Erforderliche Felder sind mit einem Asterisk (*) gekennzeichnet. Die E-Mail-Adresse wird nicht veröffentlicht.