Blockierung von Downloads über unverschlüsselte Verbindung abschalten
-
petersch41 -
28. Oktober 2021 um 13:15 -
Erledigt
-
-
Das ist eine Neuerung seit Firefox 93, Downloads über eine unsichere Verbindung (HTTP) werden jetzt blockiert, weil HTTPS standardgemäß eingeschaltet ist.
Großes Update: Mozilla veröffentlicht Firefox 93Mozilla hat Firefox 93 veröffentlicht. Dieser Artikel beschreibt die Neuerungen des Browsers für Microsoft Windows, Apple macOS und Linux.www.soeren-hentzschel.atMicrosoft und andere handhaben das so, dass man auf jeden Fall die Updates herunterladen kann, ohne von irgendwelchen Zertifikatsmeldungen verschont zu bleiben.
Zum Abschalten:
about:config => dom.block_download_insecure auf false stellen.
-
Zielführender wäre es, Microsoft mal darauf hinzuweisen, dass sie ihre Downloads wenigstens optional über HTTPS bereitstellen sollen. Wenn sich niemand beschwert, wird sich auch nichts ändern.
-
Wie gesagt, die machen das mit Absicht und das wird sich auch so schnell nicht ändern.
Microsoft liefert Updates per HTTP aus und mehr[English]Noch ein kleiner Sicherheitssplitter zum Wochenabschluss. Microsoft patzt momentan erheblich bei der Auslieferung von Updates. Der Microsoft Update…www.borncity.comvon 2018
Zitat
Stefan schreibt, dass er Microsoft häufiger auf das Problem hingewiesen habe, aber nix ist passiert.Man sollte auch beachten, dass es sich hier um manuelle Downloads handelt, in den Kommentaren ist noch zu lesen, dass WSUS auch via HTTP lädt. Tatsache ist aber auch, dass der Catalog und sonstige Support-Seiten via HTTPS erreichbar sind und damit sicher. Die Wahrscheinlichkeit, dass jemand bei MS einbricht und solche Downloads umlenkt ist verdammt gering. Anders kommt man an diese Links nämlich nicht ran. Alles andere passiert MITM und dann sollte man sich Gedanken machen. Die Pakete sind aber auch signiert, da müsste man also noch mehr fälschen als nur die Adresse bzw den Download. Und dann ist da noch Windows. Also eine Fälschung müsste mhrere Angriffspunkte angehen, um ein falsches Paket unterzujubeln. Ja, ist fragwürdig, aber doch relativ sicher.
-
Die Bereitstellung wichtiger Downloads über unverschlüsseltes HTTP ist ja auch okay und wurde von mir nicht in Frage gestellt, das bietet Mozilla für Firefox ja auch an. Deswegen schrieb ich optional. Die Blockierung von Firefox erfolgt vollkommen zu Recht und wenn solche Seiten dann dafür sorgen, dass Nutzer einen Sicherheits-Mechanismus in Firefox abschalten, ist das ganz und gar nicht gut.
-
Sören Hentzschel
28. Oktober 2021 um 20:05 Hat den Titel des Themas von „Download-Warnung nervt“ zu „Blockierung von Downloads über unverschlüsselte Verbindung abschalten“ geändert. -
Danke, seh grad "optional" im oberen Text. Es gibt auch Hoster, die noch HTTP nutzen, aber das ist eine etwas andere Thematik mit anderer Ursache.
Was vielleicht besser wäre als about:config, grad probiert:
- den Catalog öffnen, irgendeinen Download suchen
- rechte Seite "Herunterladen"
- dann kommt ja die Meldung...
- wenn man dann im Schloss (Adresszeile) von temporär auf "Aus" stellt, siehe auch
Nur-HTTPS-Modus in Firefox | Hilfe zu Firefox
Dan wird diese Seite
http://download.windowsupdate.com/
auch in die Ausnahmen zu HTTPS gestellt - statt nur temporär, wenn man es manuell dort hinzufügt.
-
Danke für die Tipps!