Firefox - "Mögliches Sicherheitsrisiko erkannt"

[Dr. McCoy]

Genau, darauf zielen die Hinweise ab:
-> https://www.heise.de/security/meldu...-Hersteller-Finger-weg-von-HTTPS-3620159.html

Sollte man zumindest mal in dieser Richtung überprüfen, wenn man das im Verlauf des Threads geschilderte Problem gelöst haben möchte.

 

[Nicht die Mama]

Ist ja alles gut und schön aber ich halte das für falsch sich darauf einzuschiessen ... zumal es dann auch im anderen Browser wohl kaum laufen dürfte. Aber um das zumindest mal zu testen habe ich ESET komplett deaktiviert (Web-Schutz, Phishing etc.) und den Browser neugestartet. Es ist vollkommen dasselbe wie zuvor auch.

Am Beispiel von Golem.de habe ich ein Screen angehängt vom dortigen Zertifikat, und es entspricht dem was hier zuvor gepostet wurde (in Bezug auf Seriennummer, Fingerprint und Gültigkeit). Daher frage ich mich warum ich ein ganz anderes unter Firefox habe, ich denke da liegt der Fehler. Allerdings wüßte ich nicht warum.

 

[Dr. McCoy]

Es geht doch mitnichten um ein Einschießen, sondern nur um ein Suchen und Finden einer Lösung zur Problemstellung. Schalte bitte einmal testweise die SSL-Prüfung für Webseiten im ESET Webschutz aus. Boote das System neu, und ruf die Seite dann abermals auf.

 

[Nicht die Mama]

Ich habe die SSL-Prüfung für Webseiten im ESET-Webschutz nun mal angestellt (die mußte ich ersteinmal einzeln suchen - hatte zuvor einfach ESEt ganz ausgestellt mit Webschutz) und dann den PC komplett neugestartet. Und in der Tat, und ich schäme mich da nicht einzugestehen dass ich da total falsch lag: Die Seite von Golem.de und auch die meiner Bank haben sofort unter Firefox korrekt geladen. Es reichte schon wenn ich unter ESET diese HTTPS-Prüfung abstellte (siehe Screen).

Verstehen tue ich das nicht wirklich (im anderen Browser lief es ja) aber da scheint dann der Fehler wohl zu liegen.Das ist mir in all den Jahren noch nie passiert bzw. das war so schon einmal aber das hatte sich nach ein paar Tagen von selbst erledigt gehabt.

In jedem Fall bedanke ich mich bei euch für diesen hilfreichen Hinweis, auch wenn ich ihn anfangs nicht recht glauben wollte, muß ich ja gestehen.

Dann muß ich mich jetzt ersteinmal einlesen warum so ein Antivierenprogramm sowas überhaupt macht bzw. ob man das so abgestellt lassen kann, diese https/ssl-Prüfung.

 

[holdes]

Ja wie schon gesagt, einfach die HTTPS Prüfung auslassen. Es ist sogar wünschenswert das der Browser dann meckert, schließlich hängt sich da etwas in eine verschlüsselte und gesicherte Kommunikation rein. Manche Browser meckern nicht rum andere schon aber das sollte nicht der Anreiz sein so etwas zu deaktivieren, es sollte grundsätzlich immer deaktiviert sein. 100% Sicherheit gibt es sowieso nie . Wieso sollte ich einem Antivirenhersteller auch den Inhalt meiner verschlüsselten Daten wie z.B. Logins anvertrauen?

 

[Helge01]

Das es nur manche Browser betrifft ist normal, je nach dem welchen ESET unterstützt. Ich würde diesen „Schutz“ auf jeden Fall ausgeschaltet lassen. Eine verschlüsselte Verbindung soll deine Daten zwischen dir und der Webseite schützen. Ein Programm was diesen Schutz aushebelt und die sichere Verbindung „aufbricht“ um in den nun unverschlüsselten Daten herumzuschnüffeln geht gar nicht, egal von welchen Anbieter. Auch können diese Programme die Sicherheit von HTTPS Verbindungen schwächen, wenn nicht aktuelle und moderne Protokolle verwendet werden. Dieses Problem hast du bei einen aktuellen Browser nie.

 

[Nicht die Mama]

In jedem Fall nochmal ein "Danke", das wußte ich bisher nun gar nicht und das finde ich nun auch nicht wirklich gut dass in der gesicherten Verbindung "rumgeschnüffelt" wird. Was ich oben auf dem Screen zeigte, also das mit der HTTPS-Verbindung, werde ich dann auch deaktiviert lassen ... das notiere ich mir dann gleich mal auf meinen diversen Notizzetteln.

Seit Jahren nun habe ich ESET im Einsatz und da ist zwar auch noch nie etwas passiert aber nun frage ich mich ja schon wie das mit den Bankdaten ist, da ESET ja immer aktiv war. Ich hoffe nun nicht dass die meine Login-Daten haben, aber man weiß ja nie. Bei Gelegenheit werde ich diese trotzdem zeitnahe einmal ändern. Echt, das macht mich irgendwie etwas baff ... da man grade sowas doch nicht erwartet bei einem "Schutzprogramm" (zumindest ging es mir bisher so). Leider habe ich den Kopf im Moment so voll mit anderen Dingen dass ich mich mit dem Thema IT auch nur noch selten beschäftigen kann und froh bin wenn alles läuft und ich da nichts dran ändern muß.

 

[holdes]

Du kannst bei solchen Dingen eigentlich nur im Hinterkopf behalten dass du dir bei jeder Antiviren Software die so etwas tut immer überlegst welchem Hersteller du die Daten überreichst. Auch manche Werbeblocker arbeiten auf die Art und weiße, das müssen sie teilweise auch tun sonst können sie nicht funktionieren. Dort heißt es dann: Komfort ohne Werbung aber damit leben dass man seine Verschlüsselung aufgibt oder eben nicht. AdGuard Pro sei mal als Beispiel genannt. Entweder ich lasse ihn in HTTPS reinschauen und bekomme keine Werbung bei HTTPS Seiten aber dafür Probleme das unter anderem Origin nicht aufgeht weil das HTTPS Zertifikat von ihm ausgestellt und umgangen wird. Antiviren Software hat aber den Vorteil auch dann zu funktionieren, wenn sie das nicht tut. Es genügt hier ja schon aus den Schadcode vom PC zu entfernen wenn er dort ankommt, ob er schon verhindert werden muss während er sich noch als Datenstrom in einer HTTPS Verbindung befindet sei mal dahingestellt.