10 Reaktionen

Firefox 50 Beta markiert HTTP-Seiten mit Passwortfeld als unsicher

Geschätzte Lesedauer:

Beta-Versionen von Firefox markieren ab nächster Woche Webseiten als unsicher, wenn die Verbindung über eine unverschlüsselte HTTP-Verbindung stattfindet und es ein Passwortfeld auf der Seite gibt.

Verschlüsselte Verbindungen, das heißt in der Regel: HTTPS statt HTTP, sollten im Jahr 2016 eigentlich Standard für Webseitenbetreiber sein. Zumindest, wenn sensible Daten wie Passwörter übertragen werden, gibt es wohl kaum eine zulässige Ausrede gegen HTTPS. Aus diesem Grund markieren Nightly-Versionen von Firefox bereits seit Firefox 44 Webseiten als unsicher, die über eine unverschlüsselte HTTP-Verbindung übertragen werden, wenn auf der Seite ein Passwortfeld entdeckt wird. Gleiches gilt für die Developer Edition seit Firefox 46. Und mit Firefox 50 erreicht dies auch Beta-Versionen von Firefox.

HTTP-Webseite mit Passwort-Feld

Genauer betrifft dies erst einmal frühe Beta-Versionen. Das bedeutet, dass in der ersten Hälfte des Beta-Zyklus entsprechende Webseiten als unsicher markiert werden und in der zweiten Hälfte, also in Vorbereitung auf die Veröffentlichung der finalen Version, dann nicht mehr.

Die erste Beta-Version von Firefox 50 mit dieser Neuerung erscheint am 22. September.

Dieser Artikel wurde von Sören Hentzschel verfasst.

Sören Hentzschel ist Webentwickler und Mozilla Repräsentant (Alumnus). Neben diesem Mozilla-Blog betreibt er unter anderem noch firefoxosdevices.org sowie das Fußball-Portal Soccer-Zone und ist außerdem Administrator des deutschsprachigen Firefox Hilfeforums Camp Firefox.

8 Kommentare - bis jetzt!

Eigenen Kommentar verfassen
  1. blub
    schrieb am :

    Genauer betrifft dies erst einmal frühe Beta-Versionen. Das bedeutet, dass in der ersten Hälfte des Beta-Zyklus entsprechende Webseiten als unsicher markiert werden und in der zweiten Hälfte, also in Vorbereitung auf die Veröffentlichung der finalen Version, dann nicht mehr.

    Warum so inkonsequent?

    Wenn Mozilla es für unsicher hält, sollte man es auch so bezeichnen. 

  2. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Das hat nichts mit Inkonsequenz zu tun. Es wird doch aus dem Artikel deutlich, dass die Auslieferung dieser Funktion in Phasen geschieht. Und da es noch nicht für die finale Version geplant ist und die finalen Versionen bekanntlich aus den Beta-Versionen entstehen, gibt es das am Ende der Betaphase bereits nicht mehr – das, was als finale Version veröffentlicht wird, muss genau so ja auch noch getestet werden.

  3. Struppi
    schrieb am :

    Warum kann man das nicht den Seitenbetreiber entscheiden lassen, ob die Seite relevante Daten überträgt oder nicht?
    Man brauct keine Ausrede um die Überflüssigkeit von HTTPS bei einem Forum oder irgendwelche Onlinespielereien Logins zu sehen.

    Durch solche Panikmache wird denn Leuten wieder mal suggeriert „wir kümmern uns um euch“ und jeder glaubt er wäre sicher, weil die Software einen beschützt. Umgekehrt wird ein Schuh daraus, Seiten, die Sicherheitsrelevante Funktionen haben, müssen klar und deutlich als verschlüsselt gekennzeichnet sein, aber nicht der Browser soll Anhand seiner eigenen Einschätzung so etwas tun

    Besser ist es den Leuten zu sagen was passiert, wenn sie dieses und jenes tun. Das ein Passwort unverschlüsselt übertragen wird, ist eher selten ein Problem, viel häufiger in letzter Zeit waren Lücken in der SSL Verschlüsselung oder bei den Zertifikaten.

  4. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Warum kann man das nicht den Seitenbetreiber entscheiden lassen, ob die Seite relevante Daten überträgt oder nicht?

    Man brauct keine Ausrede um die Überflüssigkeit von HTTPS bei einem Forum oder irgendwelche Onlinespielereien Logins zu sehen.

    Soll das ein Scherz sein? Passwörter sind ausnahmslos immer sensible Daten. Abgesehen davon ist es dem Webseitenbetreiber überlassen, ob er die Übertragung verschlüsselt oder nicht. Aber wenn Passwörter unverschlüsselt durch das Web gejagt werden, ist ein Hinweis, dass die Übertragung unsicher ist, definitiv nicht unangebracht.

    Dass du tatsächlich meinst, auf bestimmten Seiten wären Passwörter nicht schützenswert, ist hochgradig erschreckend.

    Das ein Passwort unverschlüsselt übertragen wird, ist eher selten ein Problem, viel häufiger in letzter Zeit waren Lücken in der SSL Verschlüsselung oder bei den Zertifikaten.

    Das eine hat mit dem anderen nicht das Geringste zu tun, das ist eine vollkommen andere Baustelle.

  5. rugk
    schrieb am :

    Besser ist es den Leuten zu sagen was passiert, wenn sie dieses und jenes tun. Das ein Passwort unverschlüsselt übertragen wird, ist eher selten ein Problem, viel häufiger in letzter Zeit waren Lücken in der SSL Verschlüsselung oder bei den Zertifikaten.

    Haha. Meinst du das ernst?

    Also hier die Kurzfassung deiner These: Wenn die Verschlüsselung (eventuell) Lücken enthalten (könnte), dann lassen wir sie lieber ganz weg??

    Insbesondere sind viele vor allem in letzter Zeit entdeckte Lücken nur für richtig "große" Angreifer mit viel Rechenpower ausnutzbar.

  6. Michael M.
    schrieb am :

    Soweit ich sehen kann, hat die angezeigte Warnung nichts damit zu tun, ob das Passwort verschlüsselt oder unverschlüsselt übertragen wird. Es geht darum, ob die Seite, auf der ich das Passwort eingebe, verschlüsselt übertragen wurde oder nicht. Wenn sie unverschlüsselt übertragen wurde, dann könnte ein Angreifer einen JavaScript-Keylogger eingeschleust haben, deshalb die Warnung. Ob das Passwort anschließend verschlüsselt oder unverschlüsselt übertragen wird (und Angreifer damit eine weitere Möglichkeit haben es abzufangen), wird soweit ich sehen kann, (noch) nicht überprüft.

    Und es gibt tatsächlich Fälle, in denen Passwortfelder auf unverschlüsselten Seiten kein Problem darstellen: Dann nämlich, wenn man kein Passwort eingeben möchte. Das können HTML-Dokumentationen mit Beispielen sein, das können Framworks sein, die prinzipiell eine Passworteingabe erlauben, diese Funktion aber ungenutzt bleiben kann. Mozillas PDF-Reader pdf.js war mal so ein Beispiel, zum Öffnen von passwortgeschützten PDF-Dateien war immer ein Passwortfeld auf der Seite vorhanden, das nur eingeblendet wurde, wenn es tatsächlich benötigt wurde. Auf einer unverschlüsselten Seite, die nur zum Lesen passwortfreier PDFs verwendet wird, wäre daher eine nicht zutreffende Warnung wegen des Passwort-Eingabefeldes angezeigt worden. Inzwischen wird das Passwort-Eingabefeld nur dann überhaupt erzeugt, wenn es benötigt wird, sodass die Warnung nur noch dann kommen kann, wenn sie tatsächlich berechtigt ist, aber natürlich kann es noch andere ähnliche Skripte geben.

  7. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Soweit ich sehen kann, hat die angezeigte Warnung nichts damit zu tun, ob das Passwort verschlüsselt oder unverschlüsselt übertragen wird.

    Doch, genau damit hat diese Warnung zu tun. Das heißt auch, HTTPS-Webseite mit einem Formular, welches über HTTP gesendet wird.

    Und es gibt tatsächlich Fälle, in denen Passwortfelder auf unverschlüsselten Seiten kein Problem darstellen

    Passwort-Felder sind für Passwörter, darum sind es Passwort-Felder. Nutzt man solche Felder für was anderes, ist es ein Missbrauch des eigentlichen Zweckes und das ist nicht das Problem des Browsers, sondern der Webseite.

    Und wenn es um Passwörter gibt, gibt es ganz genau null Gründe, die dafür sprechen, die Übertragung nicht zu verschlüsseln. Und darum ergibt dieses Feature auch sehr viel Sinn. Nur sind davon so viele Webseiten betroffen, dass man das eben schrittweise einführt und nicht plötzlich.

    Irgendwann werden sicher auch grundsätzlich alle Webseiten als unsicher markiert, welche nur über HTTP laufen, unabhängig von Passwort-Felder. Chrome besitzt bereits eine Einstellung dafür.

  8. rugk
    schrieb am :

    Ob das Passwort anschließend verschlüsselt oder unverschlüsselt übertragen wird (und Angreifer damit eine weitere Möglichkeit haben es abzufangen), wird soweit ich sehen kann, (noch) nicht überprüft.

    Ich glaube du meinst damit den Fall: HTTPS-Seite mit einem Formular, welches die Eingaben (& Passwörter) nach einem Klick über HTTP übermittelt.

    Und doch dass wird geprüft und Firefox warnt auch davor, wenn dies passiert. Und das nicht erst seit ein paar Versionen, sondern eigentlich praktisch schon immer. Die Meldung laustet dann "Informationen werden über eine unverschlüsselte Verbindung gesendet". Leider kann diese noch ziemlich schnell "weggeklickt" werden, aber naja…

Und jetzt du! Deine Meinung?

Erforderliche Felder sind mit einem Asterisk (*) gekennzeichnet. Die E-Mail-Adresse wird nicht veröffentlicht.