1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › STARTTLS: Keine Verschlüsselung mit…

gmx.de und web.de nach wie vor standardmäßig OHNE https

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. gmx.de und web.de nach wie vor standardmäßig OHNE https

    Autor: schokomoloko 22.07.16 - 15:41

    ruft man web.de oder gmx.de auf und will sich über die Website einloggen, wird nach wie vor standardmäßig die Website unverschlüsselt angeboten. Das heißt man gibt seine Zugangsadaten ein und diese werden im Klartext über das Netz gesendet. Man muss selbst von Hand in die Adresszeile das "https://" voranstellen, wenn man will dass die Login-Daten ordnungsgemäß verschlüssel übertragen werden sollen. Aber welchen Laie fällt das schon auf? Wenn ich dann dort sowas lese wie "E-Mail made in Germany" dann könnte ich mich nur totlachen...



    3 mal bearbeitet, zuletzt am 22.07.16 15:45 durch schokomoloko.

  2. Re: gmx.de und web.de nach wie vor standardmäßig OHNE https

    Autor: moenke 22.07.16 - 15:50

    Also bei mir leiten beide Domains direkt auf die HTTPS Seite weiter.

  3. Re: gmx.de und web.de nach wie vor standardmäßig OHNE https

    Autor: unbuntu 22.07.16 - 15:50

    schokomoloko schrieb:
    --------------------------------------------------------------------------------
    > ruft man web.de oder gmx.de auf und will sich über die Website einloggen,
    > wird nach wie vor standardmäßig die Website unverschlüsselt angeboten.

    Also wenn ich auf gmx.de gehe steht da https und die Seite wird auch als verschlüsselt vom Browser angezeigt. Beim Einloggen in den Emailbereich ebenso.

    "Linux ist das beste Betriebssystem, das ich jemals gesehen habe." - Albert Einstein

  4. Re: gmx.de und web.de nach wie vor standardmäßig OHNE https

    Autor: schokomoloko 22.07.16 - 16:14

    vielleicht mit einem Addon zur Ezwingung, aber mit 100%iger Sicherheit nicht standardmäßig. gmx.de leitet auf www.gmx.net weiter und ist definitiv http und nicht https
    mit IE und mit Firefox



    1 mal bearbeitet, zuletzt am 22.07.16 16:16 durch schokomoloko.

  5. Re: gmx.de und web.de nach wie vor standardmäßig OHNE https

    Autor: sikraemer 22.07.16 - 16:19

    Kann ich bestätigen.
    Mit Edge allerdings scheint es auf https zu gehen. Chrome hab ich grad nicht zur Hand.

  6. Re: gmx.de und web.de nach wie vor standardmäßig OHNE https

    Autor: moenke 22.07.16 - 16:19

    intressant. chrome und edge gehen (im privacy modus jeweils) auf https, firefox nicht.

  7. Re: gmx.de und web.de nach wie vor standardmäßig OHNE https

    Autor: ikhaya 22.07.16 - 16:49

    hSts preload vielleicht?
    Müsste man mal nachsehen ob die den Header gesetzt haben

  8. Re: gmx.de und web.de nach wie vor standardmäßig OHNE https

    Autor: echtwahr 22.07.16 - 16:50

    mac safari Version 9.1.2 gmx.de und web.de verschlüsselt
    mac ff 47.0.1 gmx.de und web.de unverschlüsselt

  9. Re: gmx.de und web.de nach wie vor standardmäßig OHNE https

    Autor: css_profit 22.07.16 - 17:07

    Die Mails kann man auch mit einem Mail-Programm wie Thunderbird oder Outlook bzw. einer Mail-App auf Mobil-Geräten mittels IMAP abrufen. Warum dann der Mist über die Website?

  10. Re: gmx.de und web.de nach wie vor standardmäßig OHNE https

    Autor: hannob (golem.de) 22.07.16 - 17:20

    Über die fehlende Verschlüsselung der Loginseiten vieler deutscher Mailanbieter hatten wir schon vor einiger Zeit berichtet:
    https://www.golem.de/news/verschluesselung-riskanter-login-bei-e-mail-made-in-germany-1511-117263.html

  11. Re: gmx.de und web.de nach wie vor standardmäßig OHNE https

    Autor: NaruHina 22.07.16 - 17:27

    Gmx einfach als Lesezeichen mit https abspeichern,
    Allerdings spätestens nach dem Login verwendet gmx immer https...

  12. Re: gmx.de und web.de nach wie vor standardmäßig OHNE https

    Autor: Anonymer Nutzer 22.07.16 - 18:27

    Es ist ja grundsätzlich schonmal völliger Schwachsinn auf Port 80 überhaupt etwas auszugeben. Sollte bei einem Mailanbieter tunlichst vermieden werden, wenn der Kunde einen veralteten Client hat, welcher kein SSL kann, sollte dieser auch den Service nicht nutzen können.
    Einfach ein 301 auf die https Seite auf Port 443, ansonten ist auf Port 80 GAR NICHTS auszugeben ;)

  13. Re: gmx.de und web.de nach wie vor standardmäßig OHNE https

    Autor: widardd 22.07.16 - 18:44

    FF 50.0a1 erreicht GMX via HTTPS, web.de nur über HTTP.

  14. Re: gmx.de und web.de nach wie vor standardmäßig OHNE https

    Autor: kammann 22.07.16 - 23:46

    schokomoloko schrieb:
    --------------------------------------------------------------------------------
    > Das
    > heißt man gibt seine Zugangsadaten ein und diese werden im Klartext über
    > das Netz gesendet. Man muss selbst von Hand in die Adresszeile das
    > "https://" voranstellen, wenn man will dass die Login-Daten ordnungsgemäß
    > verschlüssel übertragen werden sollen.

    Nein, die Login-Daten werden immer verschlüsselt übertragen - egal ob die Portal-Startseite per http oder https geladen wurde.
    Ein Blick in den Quellcode der Startseite verrät, dass das Login-Formular die angegeben Daten an
    https://login.web.de/intern/login?hal=true übertragt - also immer per https.

  15. Re: gmx.de und web.de nach wie vor standardmäßig OHNE https

    Autor: ohinrichs 22.07.16 - 23:51

    interpretor schrieb:
    --------------------------------------------------------------------------------
    > Es ist ja grundsätzlich schonmal völliger Schwachsinn auf Port 80 überhaupt
    > etwas auszugeben. Sollte bei einem Mailanbieter tunlichst vermieden werden,
    > wenn der Kunde einen veralteten Client hat, welcher kein SSL kann, sollte
    > dieser auch den Service nicht nutzen können.
    > Einfach ein 301 auf die https Seite auf Port 443, ansonten ist auf Port 80
    > GAR NICHTS auszugeben ;)
    .htaccess kennste, ne!? ;)

  16. Re: gmx.de und web.de nach wie vor standardmäßig OHNE https

    Autor: Seismoid 23.07.16 - 08:35

    ohinrichs schrieb:
    --------------------------------------------------------------------------------
    > interpretor schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Es ist ja grundsätzlich schonmal völliger Schwachsinn auf Port 80
    > überhaupt
    > > etwas auszugeben. Sollte bei einem Mailanbieter tunlichst vermieden
    > werden,
    > > wenn der Kunde einen veralteten Client hat, welcher kein SSL kann,
    > sollte
    > > dieser auch den Service nicht nutzen können.
    > > Einfach ein 301 auf die https Seite auf Port 443, ansonten ist auf Port
    > 80
    > > GAR NICHTS auszugeben ;)
    > .htaccess kennste, ne!? ;)
    ???
    man kann doch davon ausgehen, dass große mail provider den http server direkt konfigurieren können, ohne auf sowas wie .htaccess zurückgreifen zu müssen

  17. Re: gmx.de und web.de nach wie vor standardmäßig OHNE https

    Autor: Anonymer Nutzer 23.07.16 - 09:49

    Völliger Blödsinn. Natürlich loggt man sich HTTPS-Verschlüsselt bei gmx.de ein. Nur die Portalseite an sich wird u.U. nicht HTTPS-Verschlüsselt. Aber die Anmeldung schon. Schau einfach in den Quelltext:

    form class="form-l form-login" name="loginForm" method="post" action="https://service.gmx.net/de/cgi/login?hal=true" (...)

  18. Re: gmx.de und web.de nach wie vor standardmäßig OHNE https

    Autor: Anonymer Nutzer 23.07.16 - 10:00

    Gmx ist nicht nur ein Mailanbieter ;-)

  19. Re: gmx.de und web.de nach wie vor standardmäßig OHNE https

    Autor: Anonymer Nutzer 23.07.16 - 10:24

    schachbrett schrieb:
    --------------------------------------------------------------------------------
    > Völliger Blödsinn. Natürlich loggt man sich HTTPS-Verschlüsselt bei gmx.de
    > ein. Nur die Portalseite an sich wird u.U. nicht HTTPS-Verschlüsselt. Aber
    > die Anmeldung schon. Schau einfach in den Quelltext:
    >
    > form class="form-l form-login" name="loginForm" method="post"
    > action="service.gmx.net" (...)

    Wenn die Portalseite in http ausgeliefert wird, dann besteht dort schon die Gefahr, dass die Seite manipuliert wurde, da bringt es auch nichts mehr wenn das Login Form an eine https Adresse sendet.

  20. Re: gmx.de und web.de nach wie vor standardmäßig OHNE https

    Autor: Anonymer Nutzer 23.07.16 - 10:43

    lolig schrieb:
    --------------------------------------------------------------------------------

    > Wenn die Portalseite in http ausgeliefert wird, dann besteht dort schon die
    > Gefahr, dass die Seite manipuliert wurde, da bringt es auch nichts mehr
    > wenn das Login Form an eine https Adresse sendet.

    Selbst für HSTS musst du vorher einmal über eine HTTP-Verbindung gehen. Und wenn ein autom. Redirect von HTTP zu HTTPS erfolgt hast du auch das Problem mit SSL-Stripping. Da hilft dann nur der Ansatz, den die Browser verfolgen, dass die Seite autom. nur mit HTTPS aufgerufen wird, wenn sie in der internen Liste steht. Das steht gmx.de wohl nicht (zumindest beim Firefox). Dennoch kann man manuell direkt auf https://www.gmx.de starten.

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Gesellschaft 2020 GmbH, Wuppertal
  2. über duerenhoff GmbH, Frankfurt
  3. Deloitte, Berlin, Düsseldorf, Frankfurt, München, Stuttgart
  4. Schaeffler Automotive Buehl GmbH & Co. KG, Bühl

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote


Haben wir etwas übersehen?

E-Mail an news@golem.de


Sendmail: Software aus der digitalen Steinzeit
Sendmail
Software aus der digitalen Steinzeit

Ein nichtöffentliches CVS-Repository, FTP-Downloads, defekte Links, Diskussionen übers Usenet: Der Mailserver Sendmail zeigt alle Anzeichen eines problematischen und in der Vergangenheit stehengebliebenen Softwareprojekts.
Eine Analyse von Hanno Böck

  1. Überwachung Tutanota musste E-Mails vor der Verschlüsselung ausleiten
  2. Buffer Overflow Exim-Sicherheitslücke beim Verarbeiten von TLS-Namen
  3. Sicherheitslücke Buffer Overflow in Dovecot-Mailserver

Cloud Gaming im Test: Leise ruckelt der Stream
Cloud Gaming im Test
Leise ruckelt der Stream

Kurz vor Weihnachten werben Dienste wie Google Stadia und Playstation Now um Kunden - mit noch nicht ganz perfekter Technik. Golem.de hat Cloud Gaming bei mehreren Anbietern ausprobiert und stellt Geschäftsmodelle und Besonderheiten vor.
Von Peter Steinlechner

  1. Microsoft Xbox Scarlett streamt möglicherweise schon beim Download
  2. Apple und Google Die wollen nicht nur spielen
  3. Medienbericht Twitch plant Spielestreaming ab 2020

Elektroschrott: Kauft keine kleinen Konsolen!
Elektroschrott
Kauft keine kleinen Konsolen!

Ich bin ein Fan von Retro. Und ein Fan von Games. Und ich habe den kleinen Plastikschachteln mit ihrer schlechten Umweltbilanz wirklich eine Chance gegeben. Aber es hilft alles nichts.
Ein IMHO von Martin Wolf

  1. IMHO Porsche prescht beim Preis übers Ziel hinaus
  2. Gaming Konsolenkrieg statt Spielestreaming

  1. Half-Life: Testspieler schaffen 2 bis 3 Stunden Alyx am Stück
    Half-Life
    Testspieler schaffen 2 bis 3 Stunden Alyx am Stück

    Virtual Reality kann anstrengend sein, das nur für VR geplante Half-Life Alyx soll aber Spaß machen - so viel, dass sich Spieler im Versuchslabor länger damit beschäftigen als vom Entwickler erwartet. Valve hat noch ein paar weitere neue Informationen zum Gameplay veröffentlicht.

  2. Soziales Netzwerk: Medienanstalt geht wegen Pornografie gegen Twitter vor
    Soziales Netzwerk
    Medienanstalt geht wegen Pornografie gegen Twitter vor

    Laut der Medienanstalt Hamburg/Schleswig-Holstein macht sich Twitter strafbar, indem es Profile nicht sperrt oder löscht, die pornografisches Material verbreiten. Ein entsprechendes Verfahren ist eingeleitet worden, es drohen ein Bußgeld und eine Untersagung.

  3. The Eliminator: Forza Horizon 4 bekommt Battle-Royale-Modus
    The Eliminator
    Forza Horizon 4 bekommt Battle-Royale-Modus

    Bis zu 72 Fahrer können an einem neuen Battle-Royale-Modus namens The Eliminator teilnehmen, den Microsoft kostenlos für das Rennspiel Forza Horizon 4 anbietet. Einzige Regel: möglichst lange überleben.


  1. 17:28

  2. 16:54

  3. 16:26

  4. 16:03

  5. 15:17

  6. 15:00

  7. 14:42

  8. 14:18