Firefox Sicherheitswarnung bei DeviantArt

[sacora]

Hallo ihr Lieben,
habe schon gegoogelt - ohne Erfolg.
Neuerdings zeigt mir Firefox folgende Sicherheitsmeldung an (Nach meiner Sucheingabe):

Ich möchte nicht, dass meine Daten unnötig übermittelt werden.
Woran liegt das? - An Firefox? An Flash-player? Oder ist es etwas anderes?
Was kann ich tun?

Danke. LG, Monika

 

[fakerer]

Hallo,

im ersten Moment dachte ich das das Zertifkt der seite vielleicht abgelaufen ist. Aber das ist noch bis November gültig wenn ich das richtig gesehen habe.
Könnte auch sein das die Meldung auftaucht weil nicht alles verschlüsselt wird. Zb werden die Bilder ohne https angezeigt.
Suchanfragen werden zB auch nicht verschlüsselt.
Login anscheinend schon.
Aber vielleicht weis ja ein andere noch mehr dazu . Habe dort keinen Account.

lg

wenn du auf gehst solltest du die Meldung nicht bekommen,
Wie es im Userbereich weitergeht weis ich leider nicht da kein Account

 

[sacora]

Hallo,
wenn du auf gehst solltest du die Meldung nicht bekommen,
Wie es im Userbereich weitergeht weis ich leider nicht da kein Account

Danke. Das habe ich getestet. Leider wird mir trotzdem die Sicherheitswarnung angezeigt.

Gibt es noch eine Möglichkeit, diese Sicherheitswarnung zu entfernen, ohne dass dann meine unverschlüsselten Eingaben weiter gegeben werden? Danke

 

[Arm1479]

Ich möchte nicht, dass meine Daten unnötig übermittelt werden.

Hallo Monika,
welche Daten hast du davor eingegeben, auf die sich diese Warnmeldung beziehen könnte? Waren das Daten zur Anmeldung oder waren das deine Suchargumente?

Gibt es noch eine Möglichkeit, diese Sicherheitswarnung zu entfernen, ohne dass dann meine unverschlüsselten Eingaben weiter gegeben werden?

Was verstehst du in diesem Zusammenhang mit "weiter gegeben werden"? Wer würde an wen etwas weitergeben?

Gruß,
Armin

 

[netbandit]

Das ist völlig normal, die Suche ist bei Deviantart unverschlüsselt. Wenn Du da vorher auf einer verschlüsselten Seite bist und etwas in die Suche eingibst und sendest, verlässt Du die verschlüsselte Seite bzw. werden die Daten an die unverschlüsselte Ergebnisseite gesendet.

Grüße

 

[hobbit-55]

Das ist völlig normal, die Suche ist bei Deviantart unverschlüsselt. Wenn Du da vorher auf einer verschlüsselten Seite bist und etwas in die Suche eingibst und sendest, verlässt Du die verschlüsselte Seite bzw. werden die Daten an die unverschlüsselte Ergebnisseite gesendet.

Da du ja keine persönlichen Daten übermittelst, kannst du die Seite ruhig aufmachen. Sollte man grundsätzlich aber nur, wenn einem die Seite bekannt ist und keine weiteen Daten gesendet werden.

 

[tr4ze]

Deviantart bietet mit Ausnahme deiner Profil Settings eigentlich keine https Verbindung an !!!!
Gibt in deiner URL www.deviantart.com oder http://www.deviantart.com an und die Meldung verschwindet.

 

[Mereel]

Gibt in deiner URL www.deviantart.com oder http://www.deviantart.com an und die Meldung verschwindet.

Na dann doch lieber die Warnung wegklicken, als auf die verschlüsselte Verbindung beim Anmelden zu verzichten, wenn eine solche schon angeboten wird.

 

[tr4ze]

Na dann doch lieber die Warnung wegklicken, als auf die verschlüsselte Verbindung beim Anmelden zu verzichten, wenn eine solche schon angeboten wird.

OK, dann noch einmal für Bildzeitungsleser und Deutschlandmail Nutzer

Sicherheitsrelevante Bereiche wie Login oder Settings laufen bei Deviantart wie bei jedem anderen seriösen Anbieter über eine SSL Verschlüsselung, vollkommen automatisch.
Technisch ist das ein eigener Server auf dem eben dieses SLL Zertifikat installiert wurde.
Passworte oder sensible Daten werden nachdem sie über solch eine Verbindung übertragen worden sind, intern "Verschlüsselt", in einer Datenbank gespeichert.

Das erfolgt üblicherweise über oneway Verschlüsselungen wie MD5 oder Shai oder Crypt.
Dadurch wird ein sogenannter Hash erzeugt, dieser dient z.B. dazu einen Sessioncookie auf dem Rechner des Benutzers abzulegen.

Wenn sich jetzt ein angemeldeter Benutzer über eine nicht verschlüsselte Verbindung mit dem Server in Verbindung setzt, wird eben nur dieser Hash übertragen und nicht ein unverschlüsseltes Passwort.

Kurz gesagt: Wenn ich bereits angemeldet bin, gibt es nichts mehr zu verschlüsseln, weil bereits die Daten mit denen ich mich anmelde verschlüsselt sind.

Möchte ich mich neu anmelden oder meine Daten ändern passiert das wieder über https, weil meine Eingaben im Klartext übertragen werden.

Merken sollte man sich in diesem Zusammenhang folgendes:
Auf Webseiten ausgefüllte Formulare werden so gesendet wie sie vom Benutzer ausgefüllt wurden.
Wenn die Eingaben Sicherheitsrelevant sind, z.B. Passwörter, Adressen, E-mails usw., sollte man auf eine https Verschlüsselung achten. Bei allem anderen ist das mit Kanonen auf Spatzen schiessen.
Das Verschlüsseln von Cookies(Sessioncookies) liegt in der Verantwortung der Dienstanbieter (z.B. Deviantart) und ist gängiger Standard. Diese verschlüsselten Daten über eine unverschlüsselte Verbindung zu senden ist vom Sicherheitsaspekt her ziemlich unkritisch.

btw:
Das wegklicken der Meldung ändert nichts an der Tatsache das der Server kein SLL anbietet! Die Fehlermeldung sagt eben genau das aus.

 

[Mereel]

Zitat von Mereel:

Na dann doch lieber die Warnung wegklicken, als auf die verschlüsselte Verbindung beim Anmelden zu verzichten, wenn eine solche schon angeboten wird.
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.​

OK, dann noch einmal für Bildzeitungsleser und Deutschlandmail Nutzer
Sicherheitsrelevante Bereiche wie Login oder Settings laufen bei Deviantart wie bei jedem anderen seriösen Anbieter über eine SSL Verschlüsselung, vollkommen automatisch.

Ich ging davon aus, dass, wenn ich explizit http angebe, auch kein ssl verwendet wird. Wenn deviantart für login etc. immer ssl verwendet, ist das schön - aber ich denke verlassen kann man sich darauf nicht? Daher meinte ich eben, bevor ich manuell das Protokoll zu http ändere und mein login request womöglich unverschlüsselt übertragen wird (was ich ja als normaler user nicht mal merke, weil firefox dann ja keine Warnung mehr ausspuckt), belasse ich es doch lieber bei https und klick die Meldung weg, wenn ich weiß, dass es sich nur um eine Suchanfrage handelt, die übertragen wird. Oder lieg ich da etwa falsch?

 

[tr4ze]

Ich ging davon aus, dass, wenn ich explizit http angebe, auch kein ssl verwendet wird. Wenn deviantart für login etc. immer ssl verwendet, ist das schön - aber ich denke verlassen kann man sich darauf nicht?

Doch kann man, das ist eine automatische Weiterleitung genau wie z.B. eine www.irgendeineseite.de auf die korrekte http://www.irgendeineseite.de umzuleiten. Der Browser zeigt dir das Zertifikat in der Adresszeile auch an, du kannst ja mal spasseshalber versuchen dich mit http anzumelden. Für dich als Client ist https nur eine Option, wenn der Server es anbietet macht er einen Handshake wen nicht gehts zurück auf die normale http, du kannst von dir aus kein https erzwingen.
Dein Browser zeigt dir dann o.g. Meldung welche umgangssprachlich soviel bedeutet wie:"Hey, du hast mir(deinem Browser) den Auftrag gegeben mich mit server xyz per https zu verbinden, xyz lässt ausrichten das er dieses Protokoll nicht unterstützt, möchtest du dich stattdessen mit dem http Protokoll verbinden?"
Das ganze funktioniert natürlich auch genau andersherum, nur bekommst du dann keine Meldung im Fenster, sondern die sichere Verbindung in der Adresszeile angezeigt.