Aktualisierung auf Firefox 42

von Thomas Lange

Gerade eine Aktualisierung auf den Firefox 42 gemacht und wieder ein paar kleine Änderungen in der Adressleiste beim Schlosssymbol entdeckt: Er zeigt das Schlosssymbol jetzt scheinbar auch bei allen beglaubigten Verbindungen in grün an, egal ob die Verbindung ein Extended-Validation-Zertifikat verwendet oder ein einfaches Class 1 oder Class 2 Zertifikat. Nur bei einem Extended-Validation-Zertifikat zeigt er natürlich weiterhin noch auffällig Informationen über den Inhaber an; da hat sich also nichts verändert. Außerdem kriegt man jetzt bei unsicheren Verbindungen beim Klick auf die Weltkugel und den Pfeil folgenden Hinweis angezeigt:

Ihre Verbindung zu dieser Website ist nicht vertraulich. Von Ihnen übermittelte Informationen (wie Passwörter, Nachrichten, Kreditkartendaten, usw.) können von Anderen eingesehen werden.

Und der zukünftige Firefox 44 stellt HTTP-Seiten mit Loginfeld als unsicher dar wenn diese ein Loginformular enthalten. Im Normalfall würde bei der unsicheren Verbindung noch einfach nur die Weltkugel angezeigt werden, aber das ändert sich dann, sobald auf dieser unsicheren Seite ein Loginformular vorhanden ist. Denn egal ob das Formular über eine sichere Verbindung übertragen wird oder nicht: Ein aktiver Angreifer kann trotzdem mit einer SSL-Stripping-Attacke das Ziel des Loginformulars so manipulieren, dass die Daten weiterhin über eine unsichere Verbindung gesendet und somit abgefangen werden können.

Ich begrüße diese Maßnahmen der Browserhersteller um die durchgängige Verschlüsselung im Web voranzutreiben. Vielleicht bringen diese neuen Warnhinweise weitere Webseitenbetreiber dazu, auf verschlüsselte Verbindungen umzustellen. Man muss auch kein Geld für ein Class 1 Zertifikat ausgeben, das völlig ausreicht. Zertifizierungsstellen wie StartSSL aus Israel stellen schon lange kostenlose Class 1 Zertifikate aus, die jedes Jahr verlängert werden können. Und dann gibt es bald auch noch LetsEncrypt, welches sich aber noch in der Betaphase befindet, und mit dem ich mich noch nicht ausführlich beschäftigt habe.

Der Verfasser

Hi. Mein Name ist Thomas und ich bin nicht gut im Schreiben von Vorstellungen. Ich mag die IT und liebe es mit GNU\Linux zu arbeiten. Auf diesem Blog gibt es Beiträge über die verschiedensten Dinge, die mich beschäftigen oder interessieren (dieses Blogsystem ist eine Eigenentwicklung). Deine Fragen, Ergänzungen und Korrekturen zu Inhalten kannst du mir gerne per Mail mitteilen. 😊