1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › IT-Sicherheit: GMX und Web.de bieten…

Unfassbar unsicher!

  1. Thema

Neues Thema Ansicht wechseln


  1. Unfassbar unsicher!

    Autor: warJaSoKlar 21.08.15 - 09:41

    Ich kann es nicht nachvollziehen, wie z.B. ein Anbieter wie GMX es zulassen kann, dass man sich auf http://www.gmx.net/ noch OHNE TLS in sein Postfach einloggen kann.
    Der Otto-Normal-Nutzer pustet hier seine Zugangsdaten dann im Klartext durch's Netz und GMX nimmt das offenbar fahrlässig in Kauf. Eigentlich müsste er sie unmittelbar danach wieder ändern.

    Ich würde mir auch von Golem wünschen, auf solche krassen Missstände einzugehen, damit so etwas endlich ein Ende findet.

    Davon gibt es leider nicht wenige und Mail-Anbieter, wo alle Fäden und Fall-Backs anderer Dienste zusammenlaufen, dürfen sich in meinem Augen so etwas einfach nicht erlauben.

  2. Re: Unfassbar unsicher!

    Autor: NeoTiger 21.08.15 - 10:44

    warJaSoKlar schrieb:
    --------------------------------------------------------------------------------
    > Ich kann es nicht nachvollziehen, wie z.B. ein Anbieter wie GMX es zulassen
    > kann, dass man sich auf www.gmx.net noch OHNE TLS in sein Postfach
    > einloggen kann.

    Kurzer Blick in den Quellcodes des Form-Elementars für die Login-Maske:

    <form id="formLoginFreemail" class="form-l form-login" data-formerror-check="servererror" novalidate="novalidate" accept-charset="UTF-8" action="https://service.gmx.net/de/cgi/login?hal=true" method="post" name="loginForm">

    Hmm ... ich sehe hier eine https:-URL als Empfänger der Login-Daten. Wie kommst du also auf die Vermutung, dass hier eine unsichere Verbindung verwendet würde? Nur weil die Startseite reines http ist?

  3. Re: Unfassbar unsicher!

    Autor: Popkornium18 21.08.15 - 10:53

    Gut, unsicher ist es wohl nicht, aber einen schlechten Eindruck hinterlässt es trotzdem. Besonders da die HTTPS Seite ja existiert, aber nicht als standard genutzt wird.

  4. Re: Unfassbar unsicher!

    Autor: warJaSoKlar 21.08.15 - 11:00

    You're right (zunächst). Nach einem tieferem Blick in den Code scheint da tatsächlich TLS im Spiel zu sein. Ich kann aber dann die Loginseite sehr leicht manipulieren oder den tatsächlichen Aufruf danach umleiten. Mit einer vollständig TLS Lösung von Anfang bis Ende wäre das deutlich sicherer. So eine sparsame Lösung ist in meinen Augen leider also trotzdem unbefriedigend.

  5. Re: Unfassbar unsicher!

    Autor: Spitfire777 21.08.15 - 11:03

    Der Credential-Austausch funktioniert bei diesem Anbieter per HTTPS.

    Der Grund, warum der Rest der Seite nicht per HTTPS übertragen wird, ist die Werbung. Diese wird von externen Seiten geladen. Das würde ein normaler Browser unter HTTPS nicht zulassen.

  6. Re: Unfassbar unsicher!

    Autor: NeoTiger 21.08.15 - 11:47

    Ich frage mich bis heute, warum es den Anbietern von Webseiten noch nicht gelungen ist Werbebanner von Drittanbietern über ihre eigenen Webserver auszuliefern und sichere Standards zu schaffen, damit die Click-Zählungen unmanipuliert an dieser zurück gehen. Adblock und Co wären auf einen Schlag unbrauchbar und all ihre Probleme wären gelöst.

    Als Adblock-Benutzer bin ich froh drum.
    Als Techniker ärgere ich mich, dass noch niemand eine Lösung dafür gefunden hat.

  7. Re: Unfassbar unsicher!

    Autor: Missingno. 21.08.15 - 11:58

    NeoTiger schrieb:
    --------------------------------------------------------------------------------
    > Ich frage mich bis heute, warum es den Anbietern von Webseiten noch nicht
    > gelungen ist Werbebanner von Drittanbietern über ihre eigenen Webserver
    > auszuliefern
    Das ist einfach. Man konfiguriert den Server so, dass er als Proxy fungiert.

    > und sichere Standards zu schaffen,
    Das ist damit aber hinfällig, weil man mittels Proxy potentiell wieder Scheunentore aufreißt. ;-)

    > Adblock und Co wären auf einen Schlag unbrauchbar und all ihre Probleme wären gelöst.
    Inwiefern?

    --
    Dare to be stupid!

  8. Re: Unfassbar unsicher!

    Autor: Cok3.Zer0 21.08.15 - 20:34

    Dann müsste für jede Seite eine Filterregel eingefügt werden; dadurch ginge der Speicherverbrauch extrem nach oben.

  9. Re: Unfassbar unsicher!

    Autor: Bachsau 25.08.15 - 03:00

    Schlimmer ist, dass bis vor wenigen Jahren SSL noch ein "Premium"-Feature war. Nur zahlende Kunden durften sich darüber einloggen.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. operational services GmbH & Co. KG, Frankfurt am Main, München
  2. Landesverband der steuerberatenden und wirtschaftsprüfenden Berufe in Bayern e. V., München
  3. Vodafone GmbH, Düsseldorf
  4. Lebensversicherung von 1871 a. G. München, München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Asus ROG Strix B450-F Gaming-Mainboard für 98,95€)
  2. 69,99€ (Bestpreis!)
  3. (aktuell u. a. Intenso externe Festplatte 1TB für 39€, Xiaomi Mi 10 Lite für 269€)
  4. 209€ (Bestpreis!)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Elektrisches Carsharing: We Share bringt den ID.3 nach Berlin
Elektrisches Carsharing
We Share bringt den ID.3 nach Berlin

Während Share Now seine Elektroautos aus Berlin abgezogen hat, bringt We Share demnächst den ID.3 auf die Straße. Die Ladesituation bleibt angespannt.
Ein Bericht von Friedhelm Greis

  1. Verbraucherschützer Einige Elektroautos sind nicht zuverlässig genug
  2. Innovationsprämie Staatliche Förderung drückt Preise gebrauchter E-Autos
  3. Papamobil Vatikan will auf Elektroautos umstellen

In eigener Sache: Golem-PCs mit Ryzen 5000 und Radeon RX 6800
In eigener Sache
Golem-PCs mit Ryzen 5000 und Radeon RX 6800

Mehr Leistung zum gleichen Preis: Der Golem Highend wurde mit dem Ryzen 5 5600X ausgestattet, die Geforce RTX 3070 kann optional durch eine günstigere und schnellere Radeon RX 6800 ersetzt werden.

  1. Video-Coaching für IT-Profis Shifoo geht in die offene Beta
  2. In eigener Sache Golem-PCs mit RTX 3070 günstiger und schneller
  3. In eigener Sache Die konfigurierbaren Golem-PCs sind da

Energy Robotics: Ein kopfloser Hund für 74.500 US-Dollar
Energy Robotics
Ein kopfloser Hund für 74.500 US-Dollar

Als eines der ersten deutschen Unternehmen setzt Energy Robotics den Roboterhund Spot ein. Sein Vorteil: Er ist vollautomatisch und langweilt sich nie.
Ein Bericht von Werner Pluta

  1. Kickstarter Nibble ist ein vierbeiniger Laufroboter im Mini-Format
  2. Boston Dynamics Roboterhunde scannen ein Werk von Ford
  3. Robotik Laborroboter forscht selbstständig