Hallo zum login bei web.de Freemail muß man auf der Seite web.de seine login Daten eingeben. Dabei handelt es sich nicht um eine https:/ also um keine sichere Seite. In der Beschreibung zu seinem Freemail-Service scheibt web.de von: „FreeMail - Sicherheit und Datenschutz auf höchstem Niveau“ (https://produkte.web.de/freemail-webmail/email-adresse/) Dann sollte doch das Login auch eine sichere Seite sein oder?
Gruß Axel
Passt scho!
Dann sollte doch das Login auch eine sichere Seite sein oder?
Da wüsste ich auf Anhieb zwei gute Gegenargumente. Erstens: Seit Heartbleed gilt ganz klar „Finger weg von https“. Bei https weiss man nie, wo die Daten landen!
Zweitens: Web.de wirbt mit Sicherheit beim Mail_versand_. Von Sicherheit beim Einloggen ist da keine Rede!
Aber jetzt mal im Ernst: Grundsätzlich hast du recht, und auf den ersten Blick scheint es tatsächlich so, als hätte web.de hier arg geschlampert. Haben sie aber nicht, denn tatsächlich wird das Login-Formular zwar in eine http-Seite eingebunden dargestellt; die Eingabefelder im Formular verweisen aber auf https://registrierung.web.de/?mc=hp@[email protected]…. Login und Password werden also sicher und verschlüsselt übertragen.
Transparenz ist was anderes, ich an Stelle von web.de würde die Anwender nicht mit derart dummen Gimmicks gezielt verunsichern. Rein technisch betrachtet ist aber alles okay.
Gruß
Klarstellung
Jetzt habe ich womöglich genau das gleiche getan, was ich web.de vorwerfe: Mit meiner Formulierung die Leser unnötig verunsichert.
Daher hier eine Klarstellung: Meine Anmerkung zu https
Bei https weiss man nie, wo die Daten landen!
ist ein reiner Insider-Scherz. Tatsächlich ist htps Voraussetzung für eine sichere Datenübertragung im Web, und als Anwender sollte man immer darauf achten, Passwörter nur auf https-gesicherten Seiten einzugeben.
Ausser vielleicht bei wer-weiss-was. Allerdings sollte man bei bekannt unsicheren Seiten wie wer-weiss-was grundsätzlich keine Passwörter verwenden, die man noch irgendwo sonst einsetzt.
Gruß
Da wüsste ich auf Anhieb zwei gute Gegenargumente. Erstens:
Seit Heartbleed gilt ganz klar „Finger weg von https“. Bei
https weiss man nie, wo die Daten landen!
Oh, die Schmerzen! m(
Aus welcher Ausgabe der Computer-Bild stammt denn dieser Quark?
Oh, die Schmerzen! m(
Aus welcher Ausgabe der Computer-Bild stammt denn dieser
Quark?
Das ist kein Quark, und die Schmerzen nehme ich dir nicht ab. Denn wenn Dummheit weh täte, gäb’s deutlich mehr Geschrei in der Welt.
Der große Aufmacher beim Heartbleed-Bug war, dass der Bug ermöglicht, geheime SSL-Keys der Server auszulesen. Dieses Szenario wurde von einigen Sicherheitsspezialisten für kurze Zeit als akademisch abgetan - bis innerhalb weniger Stunden gleich mehrere Hacker den Schlüssel eines eigens zur Verfügung gestellten Testserver ausgelesen hatten.
Daher reicht es nicht, auf einem verwundbaren Server den Bug zu fixen, sondern es ist unerläßlich, auch die Zertifikate und damit deren private Schlüssel auszutauschen. Jeder wirklich verantwortungsbewusste Administrator dürfte das auch gemacht haben. Allerdings ist der Austausch der Zertifikate mit teilweise erheblichen Kosten und Arbeitsaufwand verbunden, und daher ist anzunehmen, dass in einer grossen Anzahl von Fällen zwar der Bug klammheimlich gefixt, der Zertifikatstausch jedoch unterlassen wurde.
Ein solches Vorgehen ist für jeden Dritten, insbesondere für jeden Besucher einer solchen Webseite völlig intransparent. Man kann bestenfalls erkennen, ob ein Zertifikat nach Anfang April 2014 ausgetauscht wurde. Ist das Zertifikat aber älter, ist es in keiner Weise prüfbar, ob es nicht getauscht wurde, weil der Server nie verwundbar war, oder ob es nicht getauscht wurde, weil der Seitenbetreiber Kosten und Mühe sparen wollte.
Zwar ist nach derzeitigem Kenntnisstand nicht davon auszugehen, dass der Heartbleed-Bug vor der öffentlichen Bekanntgabe der Lücke in grösserem Maße ausgenutzt wurde - dennoch kann man SSL seitdem im Grunde nur noch als Broken by Design betrachten.
Für den betroffenen Anwender - und das ist jeder Internetbenutzer - bedeutet das, dass er bei jeder https-gesicherten Seite, deren Schlüssel älter ist als von April 2014, damit rechnen muss, dass seine Kommunikation mitgelesen wird, oder dass er womöglich garnicht mit dem gewünschten Anbieter kommuniziert, sondern seine Daten gleich bei einem Betrüger abliefert.
Also Jung, schreib nicht so’n blöden Schmarren!
Hallo,
die Startseite ist nicht mit HTTPS gesichert. Die URL, an die deine Login-Daten geschickt werden hingegen schon. Alles ist gut.
Gruß,
Steve