1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › STARTTLS: Keine Verschlüsselung mit…

gmx.de und web.de nach wie vor standardmäßig OHNE https

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. gmx.de und web.de nach wie vor standardmäßig OHNE https

    Autor: schokomoloko 22.07.16 - 15:41

    ruft man web.de oder gmx.de auf und will sich über die Website einloggen, wird nach wie vor standardmäßig die Website unverschlüsselt angeboten. Das heißt man gibt seine Zugangsadaten ein und diese werden im Klartext über das Netz gesendet. Man muss selbst von Hand in die Adresszeile das "https://" voranstellen, wenn man will dass die Login-Daten ordnungsgemäß verschlüssel übertragen werden sollen. Aber welchen Laie fällt das schon auf? Wenn ich dann dort sowas lese wie "E-Mail made in Germany" dann könnte ich mich nur totlachen...



    3 mal bearbeitet, zuletzt am 22.07.16 15:45 durch schokomoloko.

  2. Re: gmx.de und web.de nach wie vor standardmäßig OHNE https

    Autor: moenke 22.07.16 - 15:50

    Also bei mir leiten beide Domains direkt auf die HTTPS Seite weiter.

  3. Re: gmx.de und web.de nach wie vor standardmäßig OHNE https

    Autor: unbuntu 22.07.16 - 15:50

    schokomoloko schrieb:
    --------------------------------------------------------------------------------
    > ruft man web.de oder gmx.de auf und will sich über die Website einloggen,
    > wird nach wie vor standardmäßig die Website unverschlüsselt angeboten.

    Also wenn ich auf gmx.de gehe steht da https und die Seite wird auch als verschlüsselt vom Browser angezeigt. Beim Einloggen in den Emailbereich ebenso.

    "Linux ist das beste Betriebssystem, das ich jemals gesehen habe." - Albert Einstein

  4. Re: gmx.de und web.de nach wie vor standardmäßig OHNE https

    Autor: schokomoloko 22.07.16 - 16:14

    vielleicht mit einem Addon zur Ezwingung, aber mit 100%iger Sicherheit nicht standardmäßig. gmx.de leitet auf www.gmx.net weiter und ist definitiv http und nicht https
    mit IE und mit Firefox



    1 mal bearbeitet, zuletzt am 22.07.16 16:16 durch schokomoloko.

  5. Re: gmx.de und web.de nach wie vor standardmäßig OHNE https

    Autor: sikraemer 22.07.16 - 16:19

    Kann ich bestätigen.
    Mit Edge allerdings scheint es auf https zu gehen. Chrome hab ich grad nicht zur Hand.

  6. Re: gmx.de und web.de nach wie vor standardmäßig OHNE https

    Autor: moenke 22.07.16 - 16:19

    intressant. chrome und edge gehen (im privacy modus jeweils) auf https, firefox nicht.

  7. Re: gmx.de und web.de nach wie vor standardmäßig OHNE https

    Autor: ikhaya 22.07.16 - 16:49

    hSts preload vielleicht?
    Müsste man mal nachsehen ob die den Header gesetzt haben

  8. Re: gmx.de und web.de nach wie vor standardmäßig OHNE https

    Autor: echtwahr 22.07.16 - 16:50

    mac safari Version 9.1.2 gmx.de und web.de verschlüsselt
    mac ff 47.0.1 gmx.de und web.de unverschlüsselt

  9. Re: gmx.de und web.de nach wie vor standardmäßig OHNE https

    Autor: css_profit 22.07.16 - 17:07

    Die Mails kann man auch mit einem Mail-Programm wie Thunderbird oder Outlook bzw. einer Mail-App auf Mobil-Geräten mittels IMAP abrufen. Warum dann der Mist über die Website?

  10. Re: gmx.de und web.de nach wie vor standardmäßig OHNE https

    Autor: hannob (golem.de) 22.07.16 - 17:20

    Über die fehlende Verschlüsselung der Loginseiten vieler deutscher Mailanbieter hatten wir schon vor einiger Zeit berichtet:
    https://www.golem.de/news/verschluesselung-riskanter-login-bei-e-mail-made-in-germany-1511-117263.html

  11. Re: gmx.de und web.de nach wie vor standardmäßig OHNE https

    Autor: NaruHina 22.07.16 - 17:27

    Gmx einfach als Lesezeichen mit https abspeichern,
    Allerdings spätestens nach dem Login verwendet gmx immer https...

  12. Re: gmx.de und web.de nach wie vor standardmäßig OHNE https

    Autor: Anonymer Nutzer 22.07.16 - 18:27

    Es ist ja grundsätzlich schonmal völliger Schwachsinn auf Port 80 überhaupt etwas auszugeben. Sollte bei einem Mailanbieter tunlichst vermieden werden, wenn der Kunde einen veralteten Client hat, welcher kein SSL kann, sollte dieser auch den Service nicht nutzen können.
    Einfach ein 301 auf die https Seite auf Port 443, ansonten ist auf Port 80 GAR NICHTS auszugeben ;)

  13. Re: gmx.de und web.de nach wie vor standardmäßig OHNE https

    Autor: widardd 22.07.16 - 18:44

    FF 50.0a1 erreicht GMX via HTTPS, web.de nur über HTTP.

  14. Re: gmx.de und web.de nach wie vor standardmäßig OHNE https

    Autor: kammann 22.07.16 - 23:46

    schokomoloko schrieb:
    --------------------------------------------------------------------------------
    > Das
    > heißt man gibt seine Zugangsadaten ein und diese werden im Klartext über
    > das Netz gesendet. Man muss selbst von Hand in die Adresszeile das
    > "https://" voranstellen, wenn man will dass die Login-Daten ordnungsgemäß
    > verschlüssel übertragen werden sollen.

    Nein, die Login-Daten werden immer verschlüsselt übertragen - egal ob die Portal-Startseite per http oder https geladen wurde.
    Ein Blick in den Quellcode der Startseite verrät, dass das Login-Formular die angegeben Daten an
    https://login.web.de/intern/login?hal=true übertragt - also immer per https.

  15. Re: gmx.de und web.de nach wie vor standardmäßig OHNE https

    Autor: ohinrichs 22.07.16 - 23:51

    interpretor schrieb:
    --------------------------------------------------------------------------------
    > Es ist ja grundsätzlich schonmal völliger Schwachsinn auf Port 80 überhaupt
    > etwas auszugeben. Sollte bei einem Mailanbieter tunlichst vermieden werden,
    > wenn der Kunde einen veralteten Client hat, welcher kein SSL kann, sollte
    > dieser auch den Service nicht nutzen können.
    > Einfach ein 301 auf die https Seite auf Port 443, ansonten ist auf Port 80
    > GAR NICHTS auszugeben ;)
    .htaccess kennste, ne!? ;)

  16. Re: gmx.de und web.de nach wie vor standardmäßig OHNE https

    Autor: Seismoid 23.07.16 - 08:35

    ohinrichs schrieb:
    --------------------------------------------------------------------------------
    > interpretor schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Es ist ja grundsätzlich schonmal völliger Schwachsinn auf Port 80
    > überhaupt
    > > etwas auszugeben. Sollte bei einem Mailanbieter tunlichst vermieden
    > werden,
    > > wenn der Kunde einen veralteten Client hat, welcher kein SSL kann,
    > sollte
    > > dieser auch den Service nicht nutzen können.
    > > Einfach ein 301 auf die https Seite auf Port 443, ansonten ist auf Port
    > 80
    > > GAR NICHTS auszugeben ;)
    > .htaccess kennste, ne!? ;)
    ???
    man kann doch davon ausgehen, dass große mail provider den http server direkt konfigurieren können, ohne auf sowas wie .htaccess zurückgreifen zu müssen

  17. Re: gmx.de und web.de nach wie vor standardmäßig OHNE https

    Autor: Anonymer Nutzer 23.07.16 - 09:49

    Völliger Blödsinn. Natürlich loggt man sich HTTPS-Verschlüsselt bei gmx.de ein. Nur die Portalseite an sich wird u.U. nicht HTTPS-Verschlüsselt. Aber die Anmeldung schon. Schau einfach in den Quelltext:

    form class="form-l form-login" name="loginForm" method="post" action="https://service.gmx.net/de/cgi/login?hal=true" (...)

  18. Re: gmx.de und web.de nach wie vor standardmäßig OHNE https

    Autor: Anonymer Nutzer 23.07.16 - 10:00

    Gmx ist nicht nur ein Mailanbieter ;-)

  19. Re: gmx.de und web.de nach wie vor standardmäßig OHNE https

    Autor: Anonymer Nutzer 23.07.16 - 10:24

    schachbrett schrieb:
    --------------------------------------------------------------------------------
    > Völliger Blödsinn. Natürlich loggt man sich HTTPS-Verschlüsselt bei gmx.de
    > ein. Nur die Portalseite an sich wird u.U. nicht HTTPS-Verschlüsselt. Aber
    > die Anmeldung schon. Schau einfach in den Quelltext:
    >
    > form class="form-l form-login" name="loginForm" method="post"
    > action="service.gmx.net" (...)

    Wenn die Portalseite in http ausgeliefert wird, dann besteht dort schon die Gefahr, dass die Seite manipuliert wurde, da bringt es auch nichts mehr wenn das Login Form an eine https Adresse sendet.

  20. Re: gmx.de und web.de nach wie vor standardmäßig OHNE https

    Autor: Anonymer Nutzer 23.07.16 - 10:43

    lolig schrieb:
    --------------------------------------------------------------------------------

    > Wenn die Portalseite in http ausgeliefert wird, dann besteht dort schon die
    > Gefahr, dass die Seite manipuliert wurde, da bringt es auch nichts mehr
    > wenn das Login Form an eine https Adresse sendet.

    Selbst für HSTS musst du vorher einmal über eine HTTP-Verbindung gehen. Und wenn ein autom. Redirect von HTTP zu HTTPS erfolgt hast du auch das Problem mit SSL-Stripping. Da hilft dann nur der Ansatz, den die Browser verfolgen, dass die Seite autom. nur mit HTTPS aufgerufen wird, wenn sie in der internen Liste steht. Das steht gmx.de wohl nicht (zumindest beim Firefox). Dennoch kann man manuell direkt auf https://www.gmx.de starten.

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Westfälische Lebensmittelwerke Lindemann GmbH & Co. KG', Bünde
  2. SCHOTT AG, Mainz
  3. STWB Stadtwerke Bamberg GmbH, Bamberg
  4. USP SUNDERMANN CONSULTING Unternehmens- und Personalberatung, Fürth

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 35,99€
  2. (aktuell u. a. Asus VG248QZ Monitor für 169,90€, Cryorig QF140 Performance PC-Lüfter für 7...
  3. 39,09€
  4. 59,00€ (Bestpreis!)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Mi Note 10 im Hands on: Fünf Kameras, die sich lohnen
Mi Note 10 im Hands on
Fünf Kameras, die sich lohnen

Mit dem Mi Note 10 versucht Xiaomi, der Variabilität von Huaweis Vierfachkameras noch eins draufzusetzen - mit Erfolg: Die Fünffachkamera bietet in fast jeder Situation ein passendes Objektiv, auch die Bildqualität kann sich sehen lassen. Der Preis dafür ist ein recht hohes Gewicht.
Ein Hands on von Tobias Költzsch

  1. Xiaomi Neues Redmi Note 8T mit Vierfachkamera kostet 200 Euro
  2. Mi Note 10 Xiaomis neues Smartphone mit 108 Megapixeln kostet 550 Euro
  3. Mi Watch Xiaomi bringt Smartwatch mit Apfelgeschmack

Amazon Echo Studio im Test: Homepod-Bezwinger begeistert auch als Fire-TV-Lautsprecher
Amazon Echo Studio im Test
Homepod-Bezwinger begeistert auch als Fire-TV-Lautsprecher

Mit dem Echo Studio bringt Amazon seinen teuersten Alexa-Lautsprecher auf den Markt. Dennoch ist er deutlich günstiger als Apples Homepod, liefert aber einen besseren Klang. Und das ist längst nicht alles.
Ein Test von Ingo Pakalski

  1. Amazons Heimkino-Funktion Echo-Lautsprecher drahtlos mit Fire-TV-Geräten verbinden
  2. Echo Flex Amazons preiswertester Alexa-Lautsprecher
  3. Amazons Alexa-Lautsprecher Echo Dot hat ein LED-Display - Echo soll besser klingen

Apple TV+ im Test: Apple-Kunden müssen auf jeden Streaming-Komfort verzichten
Apple TV+ im Test
Apple-Kunden müssen auf jeden Streaming-Komfort verzichten

Apple ist mit Apple TV+ gestartet. Wir haben das Streamingabo ausprobiert und waren entsetzt, wie rückständig alles umgesetzt ist. Der Kunde von Apple TV+ muss auf sehr viele Komfortfunktionen verzichten, die bei der Konkurrenz seit langem üblich sind.
Ein Test von Ingo Pakalski

  1. Apple TV+ Disney-Chef tritt aus Apple-Verwaltungsrat zurück
  2. Apple TV+ Apples Videostreamingdienst ist nicht konkurrenzfähig
  3. Apple TV+ Apples Streamingangebot kostet 4,99 Euro im Monat

  1. Datenschmuggel: US-Gericht schränkt Durchsuchungen elektronischer Geräte ein
    Datenschmuggel
    US-Gericht schränkt Durchsuchungen elektronischer Geräte ein

    US-Grenzbeamte dürfen nicht mehr so einfach die Smartphones und Laptops von Einreisenden untersuchen. Es muss ein begründeter Verdacht auf Datenschmuggel vorliegen.

  2. 19H2-Update: Microsoft veröffentlicht Windows 10 v1909
    19H2-Update
    Microsoft veröffentlicht Windows 10 v1909

    Das November-Update ist da: Bei Microsoft steht Windows 10 v1909 zum Download bereit. Laut Hersteller handelt es sich um ein Feature Update, die Installation geht schnell und die Neuerungen sind überschaubar.

  3. Sparvorwahlen: Tele2 feiert Rettung von Call-by-Call
    Sparvorwahlen
    Tele2 feiert Rettung von Call-by-Call

    Verbände und die Deutsche Telekom haben sich auf die freiwillige Weiterführung von Call-by-Call und Pre-Selection verständigt. Es gibt immer noch Nutzer dieser Sparvorwahlen.


  1. 17:23

  2. 17:00

  3. 16:45

  4. 16:30

  5. 16:12

  6. 15:30

  7. 15:15

  8. 15:00