![\"Sicherheit\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2014\/03\/Sicherheit.jpg\" "\\"Sicherheit\\"")
Angesichts immer neu bekannt gewordener F\u00e4lle von Passwort-Abfischung werfe ich im Blog-Beitrag mal einen Blick auf die Anmeldeseiten diverser Anbieter im Web. Dabei beleuchte ich verschiedene F\u00e4lle und gebe Hinweise auf Sicherheitsm\u00e4ngel bei der Anmeldung. Beispiel ist der Webshop von Zalando.de sowie die Freemail-Anwendung bei Web.de.<\/p>\n
<\/p>\n
Vorab: Ich nutze Zalando.de nicht, mir sind in der Vergangenheit aber h\u00e4ufiger schon \u00e4hnliche Ans\u00e4tze, zum Beispiel bei Web.de, aufgefallen. Jetzt bin ich bei Google+ auf den Fall gesto\u00dfen, wo jemand dedizierter auf die Sachlage am Beispiel von Zalando.de hinweist.<\/p>\n
Problem ist, dass im Browser in Formularfeldern eingegebene Informationen \u00fcber das http<\/em>– und das https<\/em>-Protokoll verschickt werden k\u00f6nnen. W\u00e4hrend https<\/em> die Daten vor dem Versenden im Browser verschl\u00fcsselt, transportiert http<\/em> die Eingaben unverschl\u00fcsselt zum Server. In meinem Blog verf\u00fcge ich z.Z. nur \u00fcber eine\u00a0 https<\/em>-Anbindung, wodurch ein Man in the middle-Angriff die Anmeldedaten abfangen kann. Jetzt kann ich mich entscheiden: Steige ich auf https<\/em> um (wird sogar vom Google-Ranking belohnt, kostet aber), verzichte ich auf die Anmeldung im Blog oder halte ich das Problem f\u00fcr beherrschbar. Geht man mal mit diesem Hut auf dem Kopf durch's Web, fallen einem viele Webseiten auf, die das genauso halten (Foren, Chatr\u00e4umen und so weiter). Problematisch wird die ganze Sache aber, wenn solche Anmeldungen mit sensitiven Daten einhergehen. Bei meiner Bank w\u00e4re ich daher sofort hellh\u00f6rig, wenn die mit http<\/em> zum Banking bereitstellen.<\/p>\n Anbieter wie Amazon.de l\u00f6sen das anders. In obigem Screenshot sieht man, dass das Anmeldeformular auf einer per https<\/em> abgerufenen Seite erscheint und die Daten mithin https<\/em>-verschl\u00fcsselt an Amazon.de \u00fcbertragen werden. Bei Banken oder anderen Anbietern sollte das auch so sein.<\/p>\n Der folgende Screenshot zeigt die Anmeldeseite f\u00fcr das Freemail-Postfach von WEB.DE. Auch dort werden die Anmeldedaten zwar\u00a0 Unsch\u00f6n \u2013 aber als Benutzer kann man das korrigieren. Gibt man statt web.de <\/em>die URL https:\/\/web.de <\/em>an, landet man auf einer Seite, die durchg\u00e4ngig https-<\/em>Verschl\u00fcsselung verwendet.<\/p>\n WEB.DE kann also https<\/em>-Unterst\u00fctzung. Von daher finde ich es schade, dass man dies beim Zugriff auf das Freemail-Anmeldeformular nicht automatisch anbietet.<\/p>\n Die in obigen Abschnitten beschriebene Problematik, dass man http-Seiten nicht mit https-Formularen mischt, sollte eigentlich allen Webseiten-Entwicklern bekannt sein. Mozilla weist Endwickler aber nochmals explizit im Artikel Unsichere Passwortfelder<\/a> im Entwicklerblog auf den Sachverhalt hin.<\/p>\n Kommen wir nun zum Aufh\u00e4nger f\u00fcr den Blog-Beitrag und einem Beispiel, wie man es keinesfalls machen sollte. Der Shop-Betreiber Zahlando stellt seine Anmeldeseite<\/a> \u00fcber das unsichere http<\/em>-Protokoll zur Verf\u00fcgung.<\/p>\n Klickt der Webseitenbesucher auf den Jetzt anmelden<\/em>-Link, wird das in obigem Screenshot sichtbare Popup \u00fcber die Zahlando-Webseite gelegt. Im Formular sind die Formularfelder f\u00fcr die Anmeldedaten, die Anmelden<\/em>-Schaltfl\u00e4che und der Hinweis auf eine sichere Verbindung zu finden. Die reinen Formulardaten werden zwar an eine https<\/em>-URL \u00fcbertragen und damit auch verschl\u00fcsselt. Da die Browserseite aber unter http<\/em>\u00a0l\u00e4uft, kommt man ggf. in Schwulit\u00e4ten. Ein Man-in-the-middle-Angriff per Cross Site Scripting lassen sich u.U. die Anmeldedaten aber trotzdem aussp\u00e4hen. Manche Browser warnen daher, dass dieser Ansatz unsicher ist.<\/p>\n Dieses Problem wird in dieser\u00a0Google+-Diskussion\u00a0ausgiebig thematisiert. In der Google+-Diskussion weist Thomas Quensen, zwar darauf hin, dass bei einer HTTPS-Zieladresse eines Formulars die Daten verschl\u00fcsselt verschickt werden \u2013 also alles paletti w\u00e4re. Aber andere Poster merken (wohl berechtigt)\u00a0an,\u00a0dass die gemischte Verwendung von http- und https-Elementen zu Problemen (Sicherheitsl\u00fccken) und nicht mehr valider Verschl\u00fcsselung f\u00fchrt. Eine Reihe Beispiele werden in diesem Blog<\/a> genannt (und in diesem YouTube-Video<\/a> erkl\u00e4rt jemand, wie ein per Script-Injection eingef\u00fcgter Keylogger die Eingaben als 'man in the middle' abfangen kann – ein deutschsprachiges YouTube-Video gibt's hier\u00a0HTTPS vor dem Login – Warum ist das wichtig?\u00a0zum Thema).<\/p>\n Langer Rede kurzer Sinn: So, wie Zanlando.de das momentan macht, ist das imho alles suboptimal. Wird zwar nicht sofort von zig Angreifern ausgenutzt werden. Aber ein Shop-Anbieter sollte da schon etwas mehr auf Sicherheit achten \u2013 oder sehe ich das zu verkniffen bzw. habe eine Denkfehler in meinem Artikel?<\/p>\n","protected":false},"excerpt":{"rendered":" Angesichts immer neu bekannt gewordener F\u00e4lle von Passwort-Abfischung werfe ich im Blog-Beitrag mal einen Blick auf die Anmeldeseiten diverser Anbieter im Web. Dabei beleuchte ich verschiedene F\u00e4lle und gebe Hinweise auf Sicherheitsm\u00e4ngel bei der Anmeldung. Beispiel ist der Webshop von … Weiterlesen ![\"Sicherheit-01\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2014\/08\/Sicherheit-01.jpg\" "\\"Sicherheit-01\\"")
<\/a><\/p>\nleider un<\/del>verschl\u00fcsselt an den Server \u00fcbertragen -aber es werden http-Seiten und https-Formulare vermischt. Erst bei der erfolgreichen Anmeldung wechselt WEB.DE zur https<\/em>-Verschl\u00fcsselung.<\/p>\n<\/a><\/p>\n<\/a><\/p>\nUnsichere Passwortfelder \u2013 Mozilla weist Entwickler drauf hin<\/h3>\n
Zalando: Gut gemeint und schlecht gemacht?<\/h3>\n
<\/a><\/p>\n