Firefox Sicherheitswarnung

[Rankiku]

Hallo Leute,

Firefox gibt mir jetzt schon seit längeren immer wieder diese Meldung:

Obwohl diese Seite verschlüsselt ist, werden die von Ihnen eingegebenen Informationen über eine unverschlüsselte Verbindung gesendet und können leicht von Dritten gelesen werden.

Sollen diese Informationen wirklich gesendet werden?

Tritt immer auf, wenn ich mich z.B. aus Facebook ausloggen will oder auf 9gag bin, aber auch bei ganz anderen Seiten.

Hab gegooglet, alle Ergebnisse waren aber für alte Firefox versionen, was bei der neuesten aber nicht klappt. Hoffe ihr könnt mir helfen, dass die Meldung nicht mehr angezeigt wird.

 

[Idris]

Könnte evtl. am Flash Player liegen, denn ich hatte bis vor kurzem ein ähnliches Problem, bis ich ihn die Tage aktualisiert habe.

 

[Rankiku]

Hab grad Version geguckt und ist die aktuellste, Meldung erscheint immer noch

Vllt irgendwelche Einstellungen im Flash player oder Firefox selber?

 

[Idris]

Dann habe ich auch keine Ahnung, sorry. Höchstens, dass Du es mal so versuchst, indem Du den Adope Flash Player komplett runter schmeißt und dann gleich die neueste Version runterlädst...

 

[Szadek]

Klingt für mich nach einer Sicherheitseinstellung. Hast du dich im entsprechenden Menü mal umgeschaut?

 

[Rankiku]

Neuinstallieren hat auch nichts gebracht, aber trotzdem danke^^

Hab unter den Firefox Sicherheitseinstellungen geguckt, dort habe ich:

Warnen, wenn Websites versuchen Addons zu installieren, Website blockieren, wenn sie als attackierend gemeldet werden und Website blockieren, wenn sie als Betrugsversuch gemeldet wird. Bei den älteren Firefox versionen sollte es noch unter dem Reiter Sicherheit noch weitere Optionen geben, aber in der neuesten Versionen scheinen die Option nicht da zu sein.

 

[Redwolf]

Das ist die Standardmeldung, wenn du HTTPS nutzt und der Gegenüber keinen Zertifizierungsserver nutzt, welche der Browser hinterlegt hat.

Die Meldung sieht warscheinlich so ähnlich aus:

Beispiel anhand Onlinebanking:

Du machst Onlinebanking und möchtest natürlich eine verschlüsselte Verbindung nutzten. Der Browser unterstützt sowas schon in Form von SSL. Das dabei verwendete, übergeordnete Protokoll ist HTTPS. Verschlüsselung ist an der Stelle relevant, aber es ist auch relevant, dass man nachvollziehen kann, von wem die Identität stammt, sonst könnte eine Zwischenstelle, welche zwischen dir und der Bank sitzt die Daten mitschneiden. Darum gibt es hier einen Dritten im Bunde, der Zertifikatherausgeber. Dieser stellt der Bank ein Zertifikat aus, welches die Bank in den Daten mitverschlüsselt. Du als Entschlüsseler kannst dieses dann Prüfen und die Identität der Bank feststellen. Der Browser hat bereits voreingestellte "sichere" Zertifizierer eingebettet, vor denen du nicht gewarnt wirst. Gehst du also auf deine Bankseite gibt es keine Meldung. Siehe auch: Asymetrische Verschlüsselung.

Warum bekommst du jetzt eine Meldung? Weil der Zertifikatherausgeber nicht in der Whitelist des Browsers steht oder gar kein Zertifikatherausgeber hinterlegt ist. Man hat also keinen legitimen Zertifizierer, wohl aber eine verschlüsselte Verbindung. Problem ist, dass man nicht sagen kann ob dazwischen jemand durchleitet und einem ein falsches Zertifikatunterjubelt um somit die Kommunikation mitzuschneiden (Man in the Middle Angriff). Zerfikate haben ein Verfallsdatum und kosten Schweinegeld, deswegen verzichten viele Seiten darauf und nutzten nur die Grundverschlüsselung. Bei Facebook dürfte das aber nicht der Fall sein :/.

Ich hoffe ich hab das so korrekt wiedergegeben.

HTTPS Everywhere: Grundsätzlich ist aus meiner Sicht eine HTTPS-Verbindung gegenüber einer HTTP-Verbindung vorzuziehen, da ansonsten komplett die Kommunikation lesbar ist. Ich benutzte z.B. HTTPS Everywhere als Addon für Firefox, was ich hiermit jedem ans Herz legen möchte.

Siehe auch:

Semper Video - Man in the Middle Angriff (Teil 1)
Semper Video - Man in the Middle Angriff (Teil 2)
Semper Video - Man in the Middle Angriff (Teil 3)

 

[Rankiku]

Vllt sollte ich schon am Anfang ein Bild von der Fehlermeldung dazu posten

Also hab ich mit dem HTTPS-Addon mehr Sicherheit? Meldung bleibt aber auch damit noch.

Wurde in den Videos gesagt wie das geht, dass die Meldung nicht mehr auftaucht? (Hab nur bissel reingeschaut...) Im schlimmsten Fall wechsel ich dann halt einfach den Browser^^

 

[Redwolf]

HTTPS Everywhere sorgt dafür, dass dein Browser automatisch eine verschlüsselte Verbindung bevorzugt, wenn der Webserver diese anbietet. Bedeutet, dass die Kommunikation halt verschlüsselt stattfindet. So kann selbst dein Provider, wenn er wollte nicht herausfinden, was du kommuniziert hast, wohl aber mit wem und wann. Geht natürlich auch manuell, aber das macht ja keiner. Eigentlich sollte eine Grundverschlüsselung IMHO Basis jeder Internetkommunikation sein.

Beispiel unverschlüsselt: http://google.de
Beispiel verschlüsselt: https://google.de

Deine Meldung kommt, weil aus einer sicheren, verschlüsselten Verbindung (HTTPS, wie oben beschrieben) heraus Daten partiell unverschlüsselt übertragen werden. Wie möglicherweise die Rückmeldung, dass dein Benutzerkonto ausgeloggt werden soll. Das kann, muss aber nicht bedeuten, dass es unsicher ist. Würde es einfach ignorieren. Ansonsten probier mal folgendes bzgl. Firefox: Gibt mal oben in der Adresszeile about:config ein. Dann als Suchfilter security.warn und spiel dort mal mit den Einstellungen rum (Von true auf false setzten). Der Eintrag "security.warn_submit_insecure" sieht danach aus. Wenn das nicht geht probier noch ein paar der Anderen. Ändere die Einstellung und starte danach den Browser neu, damit diese auch wirklich übernommen werden.

Wenn du wirklich von Firefox weg willst, würde ich Iron empfehlen.

 

[Rankiku]

about:config hat geklappt, es war wie du gesagt hast der Eintrag.

Vielen Dank!

 

[Redwolf]

Kein Thema .

Sieht so aus, als wäre in alten Browserversionen diese Einstellung über die Oberfläche möglich gewesen. Warscheinlich wurde das in späteren Versionen in der Oberfläche entfernt und in den versteckten Einstellungen beibelassen. Durch ein Update auf eine neue Version wurden dann trotzdem deine alten Einstellungen übernommen, was zur Folge hatte, dass dieser Parameter so geblieben ist und sich der Browser deshalb abweichend von einer Standardinstallation verhält. Bei mir war dieser Parameter false gewesen.

 

[jasicajhon]

Yes - In Options all the security Warning are unticked - I have also tried many other suggestions such as - about:config settings /security.warn settings / created a new profile etc. etc. - nothing works. It seems very strange to me that Firefox provides no way to turn off this Security Warning - such as a 'do not show this again' option.

 

[Redwolf]

Yes - In Options all the security Warning are unticked - I have also tried many other suggestions such as - about:config settings /security.warn settings / created a new profile etc. etc. - nothing works. It seems very strange to me that Firefox provides no way to turn off this Security Warning - such as a 'do not show this again' option.

In old Firefox versions, you could disable this message in the GUI settings. Since new Firefox upgrade versions came out, this option in no longer available in the GUI settings and hidden away from the user. If you had accidentally set this, it must be changed in the browsers hidden registry.

In order to disable this warning you have to input

about:config​

in your browsers address bar and set

security.warn_submit_insecure​

to

false​

and restart Firefox (close all windows and reopen it). If that doesn't help, try to run your browser with all add-ons deactivated and set this parameter again.

^ The above fix only disables the message Rankiku posted as screenshot.