Mozilla Firefox - Probleme beim Einloggen in Websites

prati

Cadet 3rd Year
Registriert
Apr. 2013
Beiträge
52
Hallo!

Seit gestern (hängt offensichlich mit dem Update auf FF 52 zusammen) kommt jedesmal, wenn ich mich auf einer Website (Foren etc.) einloggen will, die Meldung "Diese Verbindung ist nicht sicher. Ihre Zugangsdaten könnten auf dieser Seite in falsche Hände geraten. Weitere Informationen"...(wenn ich da draufklicke, kommen allerdings keine weiteren Informationen, sondern ich komme auf die allgemeine Firefox Hilfeseite).

Nur auf https-Seiten kommt die Meldung nicht. Kann man das ignorieren oder irgendwie abstellen? Es nervt nämlich mächtig. Kann mir irgendwie nicht vorstellen, dass seit gestern plötzlich alle nicht-https-Seiten unsicherer als vorher geworden sind.
 
Zuletzt bearbeitet:
Hi,

hast du mal ein Beispiel? Ich kenne solche Fehler nur von Seiten, die keine valide Verschlüsselung / gültiges Zertifikat nutzen.

VG,
Mad
 
Das ist ein neues Feature diese Meldung. Finde ich top, das sowas eingebaut wurde.

Habe gestern direkt mal ZackZack angeschrieben, wann sie ihren Login mal absichern. Kam nur "Wir verbessern ständig die Sicherheit....blabla..."...

Einfach das Changelog zu Firefox 52 raussuchen.

News auf CB:
https://www.computerbase.de/2017-03/mozilla-firefox-52-flash-npapi/

Verschärfte Warnung bei unsicheren Formularen

Weitere Maßnahmen zur Verbesserung der Sicherheit in Firefox 52 sind die nochmals verschärfte Warnung zu unsicher in Webseiten eingebundenen Login-Masken sowie die Umsetzung der Spezifikation zu Strict Secure Cookies.

Bei der erweiterten Warnung auf Webseiten, die per HTTP ausgeliefert werden und Masken zur Eingabe persönlicher Daten aufweisen, wird nun direkt neben dem Eingabefeld eine Warnung eingeblendet, wenn der Nutzer dort Daten eingibt. Zudem wird auf solchen Seiten die Autofill-Option deaktiviert. Mit Strict Secure Cookies wird verhindert, dass per HTTP ausgelieferte Seiten Cookies mit dem Attribut »secure« setzen dürfen. Zusätzlich wird verhindert, dass Cookies, die von HTTPS-Seiten mit diesem Attribut gesetzt wurden, überschrieben werden können.

EDIT:

Und ja und nein. Die Seiten sind nicht unsicherer, sie werden Dir nun nur vorgeführt, das sie unsicher sind. Ich finde das durchaus positiv, da man als Kunde so weiß, wie ein Unternehmen die Daten ihrer Kunden behandelt!
 
Zuletzt bearbeitet:
also ich habe bisher so eine Meldung nicht erhalten und ich hab einige Websites mit login in Nutzung..
 
Hab ich auch seit FF52. Kann man das nicht irgendwo abstellen?
 
prati schrieb:
Es nervt nämlich mächtig.

Das ist in gewisser Weise der Sinn der Sache. Melde dich damit bei den entsprechenden Webseiten. Je mehr Nutzer das tun, um so schneller werden diese endlich auf HTTPS umstellen.

Es ist übrigens nicht so, dass Firefox und auch andere Browser erst jetzt beginnen, auf unsichere Logins hinzuweisen. Schon seit einigen Versionen steht der Hinweis im Infobereich, den man links in der Adresszeile aufrufen kann. Nur hat das offenbar immer noch nicht genug genervt.
Ergänzung ()

Schnuffer schrieb:
Hab ich auch seit FF52. Kann man das nicht irgendwo abstellen?

Du kannst prüfen, ob du die gleiche Seite auch über HTTPS aufrufen kannst. Der vorgesehene Weg, das abzustellen, ist, dass endlich alle Seiten ihre Login-Formulare sicher ausliefern.
 
Don Kamillentee schrieb:
Das ist ein neues Feature diese Meldung. Finde ich top, das sowas eingebaut wurde.

Das ist sicherlich irgendwo ganz super eine solche Meldung einzubauen und per Default zu aktivieren. :rolleyes:
Wir nutzen in der Firma Firefox für interne Sites, die neue 52er Version werde ich nicht ausrollen,
da ist auf keiner Seite ein SSL Zertifikat drin, wozu auch - sind nur intern die Sites. :rolleyes:

Ansonsten wird die Meldung sicherlich viele unbedarfte Benutzer verunsichern - SSL hat sich noch lang nicht überall durchgesetzt. Hinweis ist somit gut und schön, warum der so groß an den Eingabefeldern prangern muss entzieht sich allerdings meinem Verständnis. :lol:

@Nixdorf
Die Konsequenz für unbedarfte Nutzer ist sicherlich nicht, dass man den Websitebetreiber anschreibt, sondern in Foren postet oder einfach den Browser wechselt. :o
 
Schnuffer schrieb:
Hab ich auch seit FF52. Kann man das nicht irgendwo abstellen?
Siehe von soares verlinkten Artikel TrishTech.com: Disable Insecure Login Field Warning in Firefox und beachte aber den Hinweis.
Even though Firefox insecure login warning can be easily disabled using these steps, it is better to keep this warning enabled. It could be very useful and protect you from entering your login credentials on phishing sites as most of these phishing sites do not use any SSL certificates and have insecure connections. And even in the case of legitimate insecure websites, your login credentials can be subjected to data sniffing attacks.
 
updater14 schrieb:
Das ist sicherlich irgendwo ganz super eine solche Meldung einzubauen und per Default zu aktivieren. :rolleyes:
Wir nutzen in der Firma Firefox für interne Sites, die neue 52er Version werde ich nicht ausrollen,
da ist auf keiner Seite ein SSL Zertifikat drin, wozu auch - sind nur intern die Sites.

Der Angreifer lauert überall. Auch in einem LAN kann es Soft- oder Hardware geben, die mithört. Die konsequente Umstellung aller Webseiten auf HTTPS ist in jedem Fall zu empfehlen. Es gibt heute keinen einzigen Grund mehr, auf HTTPS zu verzichten. Es gibt kostenlose Zertifikate von Let's Encrypt, Performance-Probleme sind mit aktueller Hardware nicht vorhanden. Und im Zweifelsfall ist sogar die Nutzung selbst ausgestellter Zertifikate und Abnicken der Sicherheitswarnung in allen Browsern dem unverschlüsselten Betrieb vorzuziehen.

Bei öffentlichen, kommerziellen Seiten wundere ich mich übrigens, warum immer noch so viele HTTP nutzen, denn inzwischen bestraft Google das mit einer Abwertung bei der Rangfolge in Suchergebnissen.

updater14 schrieb:
Die Konsequenz für unbedarfte Nutzer ist sicherlich nicht, dass man den Websitebetreiber anschreibt, sondern in Foren postet oder einfach den Browser wechselt. :o
Solche Meldungen werden in Zukunft noch mehr zunehmen und alle verbreiteten Browser bauen diese auf die eine oder andere Art ein. Meiner Meinung nach ist die Anzeige direkt am Formular besser als das Verstecken der exakten Information im Infobereich der Adressleiste. In Chrome werden solche Seiten in der Adressleiste als "Nicht sicher" bezeichnet. Dies wird Google mit Sicherheit ebenfalls in naher Zukunft weiter eskalieren.
 
Hi,

Die konsequente Umstellung aller Webseiten auf HTTPS ist in jedem Fall zu empfehlen. Es gibt heute keinen einzigen Grund mehr, auf HTTPS zu verzichten. Es gibt kostenlose Zertifikate von Let's Encrypt, Performance-Probleme sind mit aktueller Hardware nicht vorhanden. Und im Zweifelsfall ist sogar die Nutzung selbst ausgestellter Zertifikate und Abnicken der Sicherheitswarnung in allen Browsern dem unverschlüsselten Betrieb vorzuziehen.

ganz toll geschrieben! Daumen hoch, mehr muss man dazu eigentlich nicht sagen!

VG,
Mad
 
Nixdorf schrieb:
Bei öffentlichen, kommerziellen Seiten wundere ich mich übrigens, warum immer noch so viele HTTP nutzen, denn inzwischen bestraft Google das mit einer Abwertung bei der Rangfolge in Suchergebnissen.

Ich bestreite nicht, dass das bei öffentlichen Seiten Sinn macht.
Im Unternehmen kann man mittlerweile schon extra jemanden für Zertifikate einstellen, denn einerseits müssen diese ausgestellt, verwaltet, verteilt und erneuert werden und andererseits muss das mal wer bei der Geschäftsleitung "verkaufen", denn der Mehraufwand und die Gefahr, dass durch einen Zertifkatsaustausch mal was schief geht ist durchaus gegeben.

Einfach mal anschauen was es mittlerweile alles an Zertifikaten gibt:
- Router
- Switche
- interne Homepages
- externe Homepage
- Zugriffe von außen wie Exchange, VPN und Co.
- VMware-Umgebung mit diversen Systemen und massig Zertifikaten
- interne Kommunikationen von Systemen welche auch alle Zertifikate haben wollen

Übrigens ganz toll die Story von gestern wo ich von einem Kunden angerufen wurde:
Wir können keine E-Mails mehr versenden, nur noch empfangen.
Nach kurzer Ferndiagnose war keine eindeutige Fehlermeldung von Outlook auszumachen,
außer, dass einfach nichts mehr raus geht, als ob der Server nicht erreichbar wäre.
Da ich bei denen nicht die E-Mailkommunikation betreue mussten sie beim zweiten Dienstleister
anfragen, der hat sich dann heute kurz vor Mittag dazu gemeldet:
Das Mailserverzertifikat (welches er betreut) ist abgelaufen und muss erneuert werden
Läuft nun nach weiteren 3h immernoch nicht. :evillol:
--> Mal eben durch fehlerhafte Organisation ein gesamtes Unternehmen abgekappt.

@wirelessy
Weil die PHP-Fertigungsliste kein SSO kann.
Übrigens unser neues ERP-System was zur zeit eingeführt wird hat von SSO auch noch nie etwas gehört,
da war unser mittlerweile 20 Jahr altes Programm viel viel weiter. Das hatte zwar auch kein SSO, loggte sich aber automatisch ein wenn kein Passwort hinterlegt war und verhinderte den Login, wenn der Windowsloginname nicht dem im ERP System entspricht. ;)
 
Zuletzt bearbeitet:
updater14 schrieb:
Ich bestreite nicht, dass das bei öffentlichen Seiten Sinn macht.
Im Unternehmen kann man mittlerweile schon extra jemanden für Zertifikate einstellen, denn einerseits müssen diese ausgestellt, verwaltet, verteilt und erneuert werden

Zumindest für Webseiten gibt es genau deswegen Let's Encrypt. Das Zertifikat richtet man einmal mit einem einzigen Befehl ein, je nach Infrastruktur muss man es dann noch manuell in den VirtualHost eintragen, fertig. Die Erneuerung geschieht automatisch. In einem Intranet mit nicht öffentlichen Hostnamen kann man auch selbstsignierte Zertifikate einrichten und mit beliebiger Laufzeit das Erneuern unnötig machen.
 
updater14 schrieb:
Das ist sicherlich irgendwo ganz super eine solche Meldung einzubauen und per Default zu aktivieren. :rolleyes:
Wir nutzen in der Firma Firefox für interne Sites, die neue 52er Version werde ich nicht ausrollen,
da ist auf keiner Seite ein SSL Zertifikat drin, wozu auch - sind nur intern die Sites. :rolleyes:
Wozu hat man dann überhaupt Passwörter? Es bringt ohne die Verschlüsselung absolut keinen Sicherheitsgewinn. Und die Software nicht mehr zu aktualisieren, weil die eigene (veraltete) Software nicht angepasst werden kann, ist ebenfalls kein gutes Argument. Es ist klar, dass sowas von vernünftiger Software auf Dauer nicht unterstützt wird. So funktioniert Sicherheit ist der Informatik nunmal, da kann der Chef auch nichts dran ändern :rolleyes:
 
Ist ja vielleicht alles ganz wichtig und richtig,
NUR
Warum wird dann nur die hälfte gemacht bei Firefox ???
Also, warum wird dann nicht, wie es sich gehört, gefälligst die komplette Webadresse in der Adresszeile angezeigt?
Das ist eine unsägliche Blümchen-In-Die-Vase-Steller--UnArt, wie man das schon von Micrsoft-Pfuscher-Programmierern kennt, die Massen zu verblöden z.B. mit: die Dateinamens-Endung einfach NICHT anzeigen zu lassen ...
und und und.
Ich muss jetzt die Adresse markieren, kopieren, und dann in ein Word-Dokument einfügen, um zu sehen, ob das http oder https ist.
Welchen Blümchen-In-Die-Vase-Steller hat denn jetzt dieses kleine https oder http in der Adresszeile gestört ?????
 
Du brauchst da nix markieren und irgendwo hin kopieren. Wenn ein Schloss neben der URL zu sehen ist, dann ist es https:. Wenn ein offenes Schloss da ist, dann ist eben eben eine unverschlüsselte http: Seite. Und nebenbei bemerkt. Mein FF 52 zeigt auch das vorangestellte https in der URL Zeile an. Und bei einer unverschlüsselten http: Verbindung wird es eben weg gelassen.

cb.jpg

wa.jpg
 
Zuletzt bearbeitet:
Zurück
Oben