Moin,

ich habe gerade festgestellt, dass ich die ganze Zeit über meine E-Mails über eine unsichere Verschlüsselung gelesen habe...

Wenn ich auf gmx.de gehe werde ich auf .net weitergeleitet. Wenn ich dort nun meine Anmeldedaten eingebe werden diese doch unverschlüsselt übermittelt.Das Problem hab ich gelöst, indem ich die https Adresse benutze.

Soweit so gut. Das eigentliche Problem ist die Anzeige über die Webseitenidentität.
Ich benutze Firefox und dort in der Adressleiste stand bei gmx.de bzw. gmx.net immer ein graues Warndreieck, auch wenn ich mich auf dem E-Mail Account befand.

Nachdem ich jetzt die Website über https ansteuer, ist dort ein graues Sperrschloss. Wenn ich mich aber dann einlogge und auf E-Mail oben im Reiter klicke, kommt wieder das graue Warndreieck, mit der Beschreibung:

• Die Website stellt keine Identitätsdaten zur Verfügung.
• Die Verbindung zu dieser Website ist nicht vollständig sicher, weil sie unverschlüsselte Elemente enthält (z. B. Grafiken).

Was genau nicht verschlüsselt ist weiss ich nicht. Das steht nirgendwo...
Also muss ich jetzt denken, dass wenn ich E-Mails schreibe, mein Passwort ändere bzw. allgemein meine Kontaktdaten etc. ändere, alles unsicher übermittelt wird. Das führt doch das sichere Einloggen ad absurdum.

Also stimmt da irgendwas nicht. Ich hab ein bisschen recherchiert und herausgefunden, es könnnte an veralteter Software liegen.
Außerdem sollte doch GMX für Firefox optimiert sein.
Egal, ich hab dann geschaut das ich alles auf den neuesten Stand bringe.
Firefox: Aktuell
Windows: da warteten noch ein paar Updates in der warteschlange.
Diese installiert brachten so nichts. Komischerweise waren viele wichtige updates für den Internet Explorer alle fehlgeschlagen ^^

Das führte mich dann zu dieser Website, auf der ich gerade das Thema verfasse :-). (Den Dienst hab ich schön öfter in Anspruch genommen, es war zwar noch nie etwas ernstes gewesen, aber großartige Seite!)

Fragen:1. Wie kann ich das Problem mit GMX lösen. Sofern es überhaupt eins ist. Vielleicht ist das oben beschriebene auch normal über einen Browser...
2. Sind fehlgeschlagene Updates des IE alarmierend?

Vielend Dank für's Beantworten!

Grüße

Der-

p.s. Vielleicht steht das Thema im falschen Unterforum? Falls ja einfach verschieben. Nur bitte nicht direkt ins Archiv^^

Zitat:

Zitat von Der-

• Die Website stellt keine Identitätsdaten zur Verfügung.
• Die Verbindung zu dieser Website ist nicht vollständig sicher, weil sie unverschlüsselte Elemente enthält (z. B. Grafiken).

Hi,

der erste Punkt klingt so als gibt es da ein Problem mit der Zertifikat.

Die Verschlüsselung scheint soweit aber in Ordnung zu sein laut ssllabs.com passt alles:
https://www.ssllabs.com/ssltest/analyze.html?d=www.gmx.net%2F

Der zweite Punkt bedeutet lediglich dass einige Elemente nicht verschlüsselt geladen wurden. Bilder werden ofmals nicht verschlüsselt sondern im klartext geladen. Muss nicht gefährlich sein, kann aber eine Sicherheitslücke dastellen.

Um sicher zu sein dass auf den gängigen Seiten HTTPS genutzt wird solltest du dir das AddOn "HTTPSeverywhere" von der FSF runterladen (geht nicht direkt über den FF sondern über die HP der FSF).

Den Status der Verbindung zeigt dir übrigens "Calomel SSL Validation" wunderbar an (geht direkt über FF AddOns).

https ist defekt, daher solltest du es nie über unsichere Verbindungen (WLAN Hotspots etc.) nutzen.

Passwortänderungen nur von zuhause aus, im WLAN Hotspot dann per Thunderbird oder anderem Mailclient per TLS auf die Mails zugreifen.

Beweis (durch den Erfinder von Textsecure):
Moxie Marlinspike >> Software >> sslstrip

Moin,

danke für die Antworten.

@DexterNemrod
Danke für den Tipp mit dem AddOn. Das werd ich mir bei Zeiten mal genauer anschauen, aber es löst ja grundsätzlich nicht das Problem.
Trotz offensichtlicher GMX-Optimierung für den Firefox, habe ich während der Anmeldung keine sichere Verbindung mehr(graues Warndreieck).
Es ist vermutlich ein Problem mit dem Zertifikat, aber warum?

@W_Dackel
Interessant, den link werd ich mir genauer anschauen, danke.
Über W-lan mach ich eh nichts. Ich hab auch kein W-Lan zuhause.

Ich hole meine Mails grundsätzlich über Thunderbird ab- und habe dem vorgegeben Verschlüsselung zu nutzen.

Auf dem Handy: K9Mail, ebenfalls mit der Einstellung nur verschlüsselte Verbindungen zu nutzen. Damit wird ein eventuelles Abfangen der Verbindung deutlich schwieriger.