Unsichere Seite im Forum ?

  • Scheinbar doch wieder ein Senior, der seine kleine Grafik nicht hier im Forum gespeichert hat.
    Wobei ich mir gerade unsicher bin, ob das Problem nicht bereits vor dem Beitrag existierte.

    Danke für die Beiträge.

  • Jetzt mal Klartext:

    Ist es notwendig, dass das [Blockierte Grafik: https://picload.org/image/raogrwll/verknuepfung.png] entfernt wird?

    Ansonsten gibt es hier viele verlinkte Bilder, die von einer unsicheren http-Seite stammen.

    Zitat

    Hinweis: die URLs zu den Ressourcen, welche diese Kennzeichnung verursachen, werden in der Webkonsole von Firefox geloggt.


    Das bedeutet was?

  • Zitat von Fox2Fox

    Das bedeutet was?

    Die Ansicht des Inspektor zeigt sich unter "Netzwerkanalyse -> Grafiken" in der Spalte Host das durchgestrichene Schloss.

    [attachment=0]inspect.png[/attachment]

    Zitat von Fox2Fox

    Ist es notwendig, dass das Bild entfernt wird?

    Nicht notwendig, aber es wäre wirklich freundlich, wenn die mickrigen Grafiken hier im Forum gespeichert würden.

  • Also irgendwie verstehe ich den Sinn des ganzen nicht mehr.

    OK, ich hab eine verschlüsselte Seite. Teile davon, z.B eine Grafik sind aber unverschlüsselt, und ich bekomme eine Meldung dazu. Soweit OK.

    Aber irgendwie dachte ich das ist dazu da, um zu sehen das eine Seite quasi nicht "aus einer Hand kommt", also ein Teil der Seite nicht vom Anbieter der Seite an sich ist.
    Das habe ich irgendwie als Sicherheitsaspekt angesehen.

    Aber wenn ich nun lese das es ja reicht dieses Objekt auch einfach irgendwie von einer verschlüsselten Seite aus einzubinden, und sei es irgendein Bilderhoster, die ich selbst nun nicht gerade als die vertrauenswürdigsten Seiten im Web ansehe, und dann damit kein Warnhinweis mehr kommt, dann weiß ich nicht was das ganze eigentlich bringen soll.

  • Eine Kennzeichnung darüber, ob "alles aus einer Hand" kommt, würde überhaupt keinen Sinn ergeben, weil Domain-Namen keine Aussagekraft haben. ;) Und vor allem würde das auf vermutlich 99,9 Prozent aller Webseiten eine Kennzeichnung verursachen, weil es fast schon das Normalste auf der Welt ist. Das wiederum wäre ein Problem. Denn eine Kennzeichnung, welche auf quasi jeder Webseite erscheint, hat genauso keine Aussagekraft.

    Selbst diese Seite lädt Ressourcen standardmäßig von zwei verschiedenen Hosts. Einmal camp-firefox.de und einmal von piwik.pixcept.de. Was sagt das aus? Überhaupt nichts! Beide Domains zeigen auf den exakt gleichen Server. Per Ping sieht man, dass die IP-Adresse komplett identisch ist. Auf meiner Webseite firefoxosdevices.org kommen übrigens grundsätzlich drei (!) verschiedene Hosts zum Einsatz: firefoxosdevices.org, static.firefoxosdevices.org sowie visit.pixcept.de.

    Für den Host gilt daher ein bekanntes Sprichwort: Namen sind Schall und Rauch. Absolut bedeutungslos.

    Der Sinn dieser Kennzeichnung, um die es hier geht, ist eigentlich recht offensichtlich: Sicherheit. Genau das ist der Sicherheits-Aspekt. Der Name des Hosts trägt zur Sicherheit gar nichts bei. Auch auf camp-firefox kommen wie gesagt verschiedene Hosts zum Einsatz - obwohl "alles aus einer Hand" kommt". Und umgekehrt, selbst wenn wirklich nur ein einziger Host verwendet wird, sagt das ja nichts über die Integrität aller Ressourcen aus.

  • Zitat von Sören Hentzschel


    Der Sinn dieser Kennzeichnung, um die es hier geht, ist eigentlich recht offensichtlich: Sicherheit.

    Aber welche Sicherheit ist denn gemeint?

    Warum ist es unsicher wenn das Bild von einer HTTP Seite aus eingebunden wird, und ich bekomme eine Warnung, aber es ist sicher wenn das gleiche Bild von einer HTTPS Seite aus eingebunden wird?

  • Um darauf noch zu antworten:

    Zitat von Fox2Fox


    Das bedeutet was?

    Die Webkonsole findest du bei den Entwickler-Werkzeugen. Das sieht dann so aus:

    [attachment=0]Bildschirmfoto 2016-12-10 um 14.19.53.png[/attachment]

    Optisch sieht das in Firefox 50 noch ein bisschen anders aus, weil ich eine Nightly-Version nutze und dort bereits die in HTML, React und Redux neu implementierte Webkonsole aktiviert ist, Firefox 50 nutzt noch die alte XUL-Implementierung, die sieht einfach anders aus. Aber vom Prinzip her ist das in Firefox 50 nicht anders.

    Was man dort auf jeden Fall sieht: jede über HTTP geladene Ressource auf einer HTTPS-Webseite wird dort in Form ihrer URL aufgelistet. Das ist sogenannter Mixed Content. Ich habe in diesem Artikel ausführlich darüber geschrieben, was Mixed Content ist, inklusive Unterschied zwischen Active und Passive Mixed Content und welche Gefahren das jeweils beinhaltet:

    https://www.soeren-hentzschel.at/firefox/firefo…ontent-blocker/

    Über Passive Mixed Content, wie es bei Bildern der Fall ist, ist sogar Tracking möglich. ;)

  • Da hab ich nun noch eine andere Frage:

    Als Beispiel dieses Forum: Die Seite ist ja verschlüsselt, und ich bekomme oben auch die entsprechenden Infos: Verifiziert von Lets Encrypt, und die Verschlüsselungsart bei den Details.
    Das Bild von Fox kommt aber von eine Seite, die von Comodo Verifiziert ist, und auch die Verschlüsselungsart ist eine andere.
    Dazu bekomme ich hier aber keinerlei Infos.
    Ich finde das halt einfach etwas merkwürdig, wenn scheinbar mehr oder weniger alles auf einer Seite von wer weiß wem Signiert sein kann und aus allen beliebigen Quellen kommen kann, Firefox mir aber nur ein Zertifikat anzeigt und ansonsten meint alles ist in Butter.

    Oder wird (in diesem Fall) das Bild quasi von Camp-Firefox neu verschlüsselt?

  • Nein, das Bild wird nicht neu verschlüsselt. Es spielt auch keine Rolle, von wem die Zertifikate stammen, ein Zertifikat von Let's Encrypt ist nicht besser als eines von Comodo oder umgekehrt. Ein Zertifikat bekommt sowieso jeder, der eines will. Es geht dabei ausschließlich um die verschlüsselte Übertragung. Von wem ein Zertifikat stammt, ändert für die Sicherheit gar nichts.

    Es gibt zwar unterschiedlich starke Verschlüsselungen, man kann aber davon ausgehen, dass alles, was Firefox lädt, noch sicher genug ist. Beispielsweise werden Zertifikate mit einer SHA-1-Signatur ab Firefox 51 grundsätzlich nicht mehr unterstützt. Seit Firefox 43 werden entsprechende Zertifikate bereits nicht mehr unterstützt, sofern das Ausstellungsdatum neuer als der 1. Januar 2016 ist. Ressourcen, die das betrifft, werden dann einfach nicht mehr geladen. Und sollte eine Seite ein Zertifikat nicht korrekt erworben haben, können Browser Zertifikate für ungültig erklären. Mit anderen Worten: für den Nutzer ist das alles egal. Firefox kümmert sich darum, dass nur Zertifikate unterstützt werden, die in Ordnung sind. Der wesentliche Vorteil, um den es geht, ist und bleibt aber ganz simpel die Verschlüsselung, egal mit welchem Zertifikat.

    Informationen zu den Zertifikaten von anderen Ressourcene erhält man übrigens auch in Firefox, nämlich über die Entwickler-Werkzeuge im Netzwerk-Monitor. Bei HTTPS-Ressourcen gibt es einen zusätzlichen Reiter "Sicherheit".