Die 'sichere' Anmeldung bei Zalando, Web.de & Co

SicherheitAngesichts immer neu bekannt gewordener Fälle von Passwort-Abfischung werfe ich im Blog-Beitrag mal einen Blick auf die Anmeldeseiten diverser Anbieter im Web. Dabei beleuchte ich verschiedene Fälle und gebe Hinweise auf Sicherheitsmängel bei der Anmeldung. Beispiel ist der Webshop von Zalando.de sowie die Freemail-Anwendung bei Web.de.


Anzeige

Vorab: Ich nutze Zalando.de nicht, mir sind in der Vergangenheit aber häufiger schon ähnliche Ansätze, zum Beispiel bei Web.de, aufgefallen. Jetzt bin ich bei Google+ auf den Fall gestoßen, wo jemand dedizierter auf die Sachlage am Beispiel von Zalando.de hinweist.

Das Grundproblem

Problem ist, dass im Browser in Formularfeldern eingegebene Informationen über das http– und das https-Protokoll verschickt werden können. Während https die Daten vor dem Versenden im Browser verschlüsselt, transportiert http die Eingaben unverschlüsselt zum Server. In meinem Blog verfüge ich z.Z. nur über eine  https-Anbindung, wodurch ein Man in the middle-Angriff die Anmeldedaten abfangen kann. Jetzt kann ich mich entscheiden: Steige ich auf https um (wird sogar vom Google-Ranking belohnt, kostet aber), verzichte ich auf die Anmeldung im Blog oder halte ich das Problem für beherrschbar. Geht man mal mit diesem Hut auf dem Kopf durch's Web, fallen einem viele Webseiten auf, die das genauso halten (Foren, Chaträumen und so weiter). Problematisch wird die ganze Sache aber, wenn solche Anmeldungen mit sensitiven Daten einhergehen. Bei meiner Bank wäre ich daher sofort hellhörig, wenn die mit http zum Banking bereitstellen.

Sicherheit-01

Anbieter wie Amazon.de lösen das anders. In obigem Screenshot sieht man, dass das Anmeldeformular auf einer per https abgerufenen Seite erscheint und die Daten mithin https-verschlüsselt an Amazon.de übertragen werden. Bei Banken oder anderen Anbietern sollte das auch so sein.


Anzeige

Der folgende Screenshot zeigt die Anmeldeseite für das Freemail-Postfach von WEB.DE. Auch dort werden die Anmeldedaten zwar leider unverschlüsselt an den Server übertragen -aber es werden http-Seiten und https-Formulare vermischt. Erst bei der erfolgreichen Anmeldung wechselt WEB.DE zur https-Verschlüsselung.

Sicherheit-02

Unschön – aber als Benutzer kann man das korrigieren. Gibt man statt web.de die URL https://web.de an, landet man auf einer Seite, die durchgängig https-Verschlüsselung verwendet.

Sicherheit-03

WEB.DE kann also https-Unterstützung. Von daher finde ich es schade, dass man dies beim Zugriff auf das Freemail-Anmeldeformular nicht automatisch anbietet.

Unsichere Passwortfelder – Mozilla weist Entwickler drauf hin

Die in obigen Abschnitten beschriebene Problematik, dass man http-Seiten nicht mit https-Formularen mischt, sollte eigentlich allen Webseiten-Entwicklern bekannt sein. Mozilla weist Endwickler aber nochmals explizit im Artikel Unsichere Passwortfelder im Entwicklerblog auf den Sachverhalt hin.

Zalando: Gut gemeint und schlecht gemacht?

Kommen wir nun zum Aufhänger für den Blog-Beitrag und einem Beispiel, wie man es keinesfalls machen sollte. Der Shop-Betreiber Zahlando stellt seine Anmeldeseite über das unsichere http-Protokoll zur Verfügung.

Sicherheit-04

Klickt der Webseitenbesucher auf den Jetzt anmelden-Link, wird das in obigem Screenshot sichtbare Popup über die Zahlando-Webseite gelegt. Im Formular sind die Formularfelder für die Anmeldedaten, die Anmelden-Schaltfläche und der Hinweis auf eine sichere Verbindung zu finden. Die reinen Formulardaten werden zwar an eine https-URL übertragen und damit auch verschlüsselt. Da die Browserseite aber unter http läuft, kommt man ggf. in Schwulitäten. Ein Man-in-the-middle-Angriff per Cross Site Scripting lassen sich u.U. die Anmeldedaten aber trotzdem ausspähen. Manche Browser warnen daher, dass dieser Ansatz unsicher ist.

Dieses Problem wird in dieser Google+-Diskussion ausgiebig thematisiert. In der Google+-Diskussion weist Thomas Quensen, zwar darauf hin, dass bei einer HTTPS-Zieladresse eines Formulars die Daten verschlüsselt verschickt werden – also alles paletti wäre. Aber andere Poster merken (wohl berechtigt) an, dass die gemischte Verwendung von http- und https-Elementen zu Problemen (Sicherheitslücken) und nicht mehr valider Verschlüsselung führt. Eine Reihe Beispiele werden in diesem Blog genannt (und in diesem YouTube-Video erklärt jemand, wie ein per Script-Injection eingefügter Keylogger die Eingaben als 'man in the middle' abfangen kann – ein deutschsprachiges YouTube-Video gibt's hier HTTPS vor dem Login – Warum ist das wichtig? zum Thema).

Langer Rede kurzer Sinn: So, wie Zanlando.de das momentan macht, ist das imho alles suboptimal. Wird zwar nicht sofort von zig Angreifern ausgenutzt werden. Aber ein Shop-Anbieter sollte da schon etwas mehr auf Sicherheit achten – oder sehe ich das zu verkniffen bzw. habe eine Denkfehler in meinem Artikel?


Anzeige

Dieser Beitrag wurde unter Internet, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Die 'sichere' Anmeldung bei Zalando, Web.de & Co

  1. Matthias sagt:

    Sehe ich auch so. Mir ist nicht klar, worin für viele Anbieter das Problem liegt, auf https:// umzustellen? Bereits die kleinste NAS bietet das für ihren Webzugriff an. Warum schaffen das dann nicht die großen Anbieter?

    Der Beitrag suggeriert aber, dass die Anmeldung bei Amazon sicher sei. Das mag hinsichtlich der Verschlüsselung der Daten stimmen. Aber auch hier ist es mit ein Rätsel, warum Amazon, als weltweit größter Onlinehändler, es nicht schafft, eine 2-Faktor-Authentifizierung einzuführen. Nicht wenige haben umfangreiche Bank- und Adressdaten hier hinterlegt. Dem Nutzer hier nicht wenigstens die optionale Möglichkeit zu einem solchen Login zu eröffnen, verstehe ich nicht.

  2. Andreas sagt:

    Ich finde das mit den HTTPS-Formularen auf HTTP-Seiten eine Sauerei. Besonders wenn erst nach der Anmeldung umgeschaltet wird. HTTPS Everywhere ist hier sehr nützlich, weil es bei den Seiten, die es unterstützen, vor der Anmeldung auf HTTPS umswitcht.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.