Onlinebanking Deutsche- u. Postbank-direkt unsicher?

    XP SP3; FF 3.0.4
    Hallo zusammen,
    schon vor ca.4 (!) Monaten habe ich Schwachstellen bei den Internetseiten "Direkt-Postbank.de" (nicht Postbank Onlinebanking) und "Meine-Deutsche-Bank.de" festgestellt.
    Nach dem ordnungsgemässen Abmelden der Konten bleiben diese Seiten bis zum vollständigen Schliessen des Firefoxes gespeichert und lassen sich, ohne Neueingabe der Benutzerdaten (Kontonummern und Passwort) wieder herstellen. D.h. klickt man nach weiterem Surfen (ggf. mehrfach) auf den Returnpfeil, so landet man wieder in seinem immernoch geöffneten Konto und kann alle Daten auslesen. Allerdings sind weitere Aktionen nicht z.Z. nicht möglich.
    Ich habe diese Mängel den beiden Banken mitgeteilt und mir wurde versichert, dass ..."es ein bekannter Fehler ist und die IT-Fachleute mit Hochdruck an der Beseitigung arbeiten..." Bis heute ist es aber den Spezialisten noch nicht gelungen diese Lücke zu schliessen. Daher mein Rat: Beim Internetexplorer passiert es nicht! Also Vorsicht beim Onlinebanking mittels Firefox.
    hac004

    Antwort der Postbank vom 28.07.2008:

    vielen Dank für Ihre erneute E-Mail.
    Ich habe den Fehler zur schnellst möglichen Behebung an die Sicherheitsabteilung weitergeleitet. Die Techniker arbeiten mit Hochdruck daran und sind zuversichtlich, dass der Fehler schon bald behoben sein wird.
    Eine Lösung kann ich Ihnen soweit nur anbieten, in dem Sie den Browser schließen, somit wird die Seite nicht mehr angezeigt. Bitte setzen Sie die Sicherheitseinstellungen im Browser wie folgt ein:
    Klicken Sie in Ihrem Browser im Menüpunkt "Extras" / "Einstellungen", danach wählen Sie "Datenschutz" aus. Bitte aktivieren Sie durch ein häckchen " Private Daten löschen, wenn Firefox beendet wird" gehen dann auf "Einstellungen" setzen ggf. bei allen Menüpunkten ein häckchen.
    Ich freue mich, wenn ich Ihnen die gewünschten Informationen geben konnte und stehe Ihnen für weitere Fragen per E-Mail gerne zur Verfügung.

    Mit freundlichen Grüßen

    Ihr Postbank E-Mail Team
    Jürgen Goller

    Die Antwort der DB ist sinngemäss gleich.
    Ich benutze nun für diese Einsätze nur noch den IE

    ...man lernt nie aus...

    Wenn man `Zurück` benutzt holt Firefox die ganze Seite aus einem temporärem Cache. Um diese Seite nochmal zu sehen muss jemand anders, Zugriff auf den PC haben und die gleiche Firefox Session verwenden, wie die die du zum Online Banking benutzt hast.

    Eine Sicherheitslücke entsteht da nicht wirklich.

    Mozilla/5.0 (X11; U; Linux x86_64; de-DE; rv:1.9.1.1) Gecko/20090702 Firefox/3.5

    Ich schließe mich den Ausführungen von DasIch an. Online-Banking betreibe ich nur von zu Hause aus. Da kommt kein anderer ran.

    Aber dieser Satz von dir, hac004:

    Zitat

    Ich benutze nun für diese Einsätze nur noch den IE


    spricht der Sicherheit hohn. Der IE ist bekanntlich der Browser mit den meisten ungepatchten Sicherheitslücken. :wink:

    [Blockierte Grafik: http://firefox.czapura.de/gruss2.png]
    Win XP Home SP3, CPU: Pentium 4, 2,6 GHz, Dual Core, 1 GB RAM
    Mozilla/5.0 (Windows NT 5.1; rv:22.0) Gecko/20100101 Firefox/22.0
    Mozilla/5.0 (Windows NT 5.1; rv:17.0) Gecko/20130620 Thunderbird/17.0.7
    Meine Add-Ons

    Zumindest bei der Dt. Bank ist NACH dem Logout mittels Zurück-Button KEIN Zugriff mehr auf das Konto möglich. Ich weiß nicht, was du da machst, dass bei dir die Daten noch angezeigt sind.

    Und den IE als Alternative für's Banking zu nutzen... :lol:

    MfG...

    browser.cache.disk_cache_ssl steht beim Fx per default auf false. Und daran fummel ich auch nicht rum. Warum auch. :D

    Und seit ich Online-Banking mit dem Firefox betreibe, war auf der DB-Seite immer nach dem Logout Schluss und die Seiten nicht mehr aufrufbar. Was diese Aktion von hac004 soll, weiß ich auch nicht. [Blockierte Grafik: http://forum.perryrhodan.net/style_emoticons/default/fear-nixweis02_ani.gif]

    [Blockierte Grafik: http://firefox.czapura.de/gruss2.png]
    Win XP Home SP3, CPU: Pentium 4, 2,6 GHz, Dual Core, 1 GB RAM
    Mozilla/5.0 (Windows NT 5.1; rv:22.0) Gecko/20100101 Firefox/22.0
    Mozilla/5.0 (Windows NT 5.1; rv:17.0) Gecko/20130620 Thunderbird/17.0.7
    Meine Add-Ons

    Hallo zusammen,
    vielen Dank für die gut gemeinten Ratschläge. Leider haben sie mir bisher nicht weiter geholfen. Auch die Banken scheinen einige Probleme damit zu haben. Die Postbank hat zwischenzeitlich mit der Änderung der Site begonnen, aber noch nicht zu 100% gelöst.

    Hier die letzten Antworten der Deutschen Bank:

    1.vielen Dank fuer Ihre E-Mail.

    Wir gehen auf Grund Ihrer Angaben davon aus, dass Sie online im
    Transaktionsmanager arbeiten: http://www.deutsche-bank.de/start ->
    Kunden-Login.

    Der von Ihnen beschriebene Fehler ist bekannt und wurde bereits
    weitergegeben.
    Bei dem Internet Explorer haben Sie die Moeglichkeit unter:
    Extras -> Internetoptionen -> Erweitert -> bei dem Punkt Sicherheit
    einen Haken bei Verschluesselte Seiten nicht auf dem Datentraeger
    speichern zu setzen. Diese Moeglichkeit besteht bei dem Firefox nicht

    Wir moechten Sie an dieser Stelle gerne darueber informieren, dass der Fall momentan noch in unserer Fachabteilung in Bearbeitung ist.

    Mit freundlichen Gruessen

    Ihr Deutsche Bank E-Mail Service
    Martin Brosan
    ==================================

    2. vielen Dank fuer Ihre E-Mail.

    Wir haben den Sachverhalt an die Hersteller
    des Mozilla FireFox weitergeleitet.

    Haben Sie noch weitere Fragen?
    Dann wenden Sie sich gern weiterhin an uns.

    Mit freundlichen Gruessen

    Ihr Deutsche Bank E-Mail Service
    Daniel Weiss
    =========================================
    PS. Es soll ja nur eine Warnung sein, bei anderen Bankseiten habe ich diese Lücke auch noch nicht festgestellt.

    Gruss hac004

    ...man lernt nie aus...

    Die Einstellungsmöglichkeit über den Einstellungsdialog beim Firefox ist eh unnötig, da der default auf false, also ssl-Seiten nicht speichern eingestellt ist.

    Edit: Und die Einstellungsmöglichkeit gibs sehr wohl. Über About:config.

    [Blockierte Grafik: http://img3.imagebanana.com/img/23zf47i/aboutconfig.jpg]

    [Blockierte Grafik: http://firefox.czapura.de/gruss2.png]
    Win XP Home SP3, CPU: Pentium 4, 2,6 GHz, Dual Core, 1 GB RAM
    Mozilla/5.0 (Windows NT 5.1; rv:22.0) Gecko/20100101 Firefox/22.0
    Mozilla/5.0 (Windows NT 5.1; rv:17.0) Gecko/20130620 Thunderbird/17.0.7
    Meine Add-Ons

    Zitat von brunadi

    Und trotzdem speichert Firefox https-Seiten im cache.


    Aber nur im RAM während der Sitzung. Nicht auf der Platte. Hab ich hier jedenfalls noch nicht erlebt. :wink:

    [Blockierte Grafik: http://firefox.czapura.de/gruss2.png]
    Win XP Home SP3, CPU: Pentium 4, 2,6 GHz, Dual Core, 1 GB RAM
    Mozilla/5.0 (Windows NT 5.1; rv:22.0) Gecko/20100101 Firefox/22.0
    Mozilla/5.0 (Windows NT 5.1; rv:17.0) Gecko/20130620 Thunderbird/17.0.7
    Meine Add-Ons

    @Deschen:

    Zitat

    Zumindest bei der Dt. Bank ist NACH dem Logout mittels Zurück-Button KEIN Zugriff mehr auf das Konto möglich. Ich weiß nicht, was du da machst, dass bei dir die Daten noch angezeigt sind.


    Ich habe soeben die Seite der DB nochmals getestet und festgestellt, dass der Fehler gestern behoben wurde.
    Somit hat meine Reklamation genutzt.
    Jetzt fehlt nur noch die Postbank.
    hac004

    ...man lernt nie aus...

    Estartu
    Sollte er aber auch nicht. Denn daß man mit dem zurück-button wieder in die eingeloggte Seite der Bank kommt, ist ja auch nicht in Ordnung.
    Bei mir spielt das aber keine Rolle, da ich alleiniger Benutzer am Rechner bin.
    Werde mich aber trotzdem mal bei meiner Sparrkasse erkundigen.

    Windows 7, FireFox 36.0.4
    Die meisten Computerfehler sitzen vor dem Bildschirm :wink:

    brunadi: Nur zum Verständnis. Während der Sitzung heißt vor dem Logout. Wenn ich während der Sitzung auf den Zurück-Button klicke, zeigt er mir die vorige Seite an. Wenn ich auf Logout klicke und dann auf den Zurück-Button, bekomm ich die Meldung, das die Sitzung abgelaufen sei. Und so muss es ja auch sein. ;) Und so war es bei mir schon immer, seit ich den Firefox benutze. Und noch eins: Was nicht im RAM ist, kann nicht angezeigt werden. Darum müssen auch verschlüsselte Seiten im RAM liegen, damit sie angezeigt werden können. Geht nun mal nicht anders.

    [Blockierte Grafik: http://firefox.czapura.de/gruss2.png]
    Win XP Home SP3, CPU: Pentium 4, 2,6 GHz, Dual Core, 1 GB RAM
    Mozilla/5.0 (Windows NT 5.1; rv:22.0) Gecko/20100101 Firefox/22.0
    Mozilla/5.0 (Windows NT 5.1; rv:17.0) Gecko/20130620 Thunderbird/17.0.7
    Meine Add-Ons

    okay. Aber bei meiner Bank ist das so, wenn ich mich bereits ausgeloggt habe und dann auf den zurück-button klicke, bin ich wieder auf der vorigen (eingeloggten) Seite.

    Windows 7, FireFox 36.0.4
    Die meisten Computerfehler sitzen vor dem Bildschirm :wink:

    Steht auf false. Wird auch nicht im disk-cache gespeichert, nur im memory-cache.
    Das Problem mit dem Zuückbutton habe ich eben meiner Bank mitgeteilt.
    Mit opera und IE gibt es das nicht.

    Windows 7, FireFox 36.0.4
    Die meisten Computerfehler sitzen vor dem Bildschirm :wink:

    Hallo brunadi,

    Code
    Aber bei meiner Bank ist das so, wenn ich mich bereits ausgeloggt habe und dann auf den zurück-button klicke, bin ich wieder auf der vorigen (eingeloggten) Seite.

    bei mir manchmal auch mehrfache Zurück-Befehle.
    das ist ja interessant, welche Bank ist das denn? Ich hatte in meinem Umfeld (ich betreue mehrere Nachbarn beim Banking) bisher nur die beiden genannten, jetzt aber nur noch Direkt-Postbank...
    hac004

    ...man lernt nie aus...

    Zitat von hac004

    Hallo brunadi,

    Code
    Aber bei meiner Bank ist das so, wenn ich mich bereits ausgeloggt habe und dann auf den zurück-button klicke, bin ich wieder auf der vorigen (eingeloggten) Seite.

    bei mir manchmal auch mehrfache Zurück-Befehle.
    das ist ja interessant, welche Bank ist das denn? Ich hatte in meinem Umfeld (ich betreue mehrere Nachbarn beim Banking) bisher nur die beiden genannten, jetzt aber nur noch Direkt-Postbank...
    hac004

    Ist die Sparkasse in Österreich.

    Windows 7, FireFox 36.0.4
    Die meisten Computerfehler sitzen vor dem Bildschirm :wink:

    Nach Drücken der Zurücktaste bin ich zwar auf der vorigen (eingeloggten Seite) bin aber nicht eingeloggt und kann dort auch nichts tätigen.
    Ich habe jetzt mit meiner Bank Rücksprache gehalten. Die haben mir mitgeteilt, das läge am Browser Firefox.
    Mich stört das auch nicht besonders, da ich ohnehin allein am Rechner bin.

    Windows 7, FireFox 36.0.4
    Die meisten Computerfehler sitzen vor dem Bildschirm :wink: