4. Warum redirected GMX für den Login immer noch nicht auf die sichere HTTPS Loginseite?

Warum redirected GMX für den Login immer noch nicht auf die sichere HTTPS Loginseite?

  • V

    GMX Bug schrieb:

    Hm, okay, abere wie soll ich da das Zertifikat überprüfen können?

    Was würde es nützen?

    GMX Bug schrieb:

    Jede gute Webseite sollte einem auf eine sofort ersichtliche SSL Seite verweisen, wenn man in so ein verstecktes SSL Formular einen falschen Login eingibt. GMX macht das leider auch da nicht.

    Du wünscht Dir also, zurück nach https://www.gmx.de zu fliegen. Aha.
    Da kannste lange rumprüfen, die Logindaten werden doch nach https://service.gmx.net geschickt. Wie prüfst Du dieses Zertifikat? Was machste bei Ajax?

    Ich binm fast sicher, daß es da einen besseren Weg geben müßte, vielleicht im lokalen Browser einstellen, daß er nachfragen soll, wenn eine Seite mit einem noch nicht vom Benutzer bestätigten Zertifikat betreten werden soll.

    0
  • ?

    DE-Karl schrieb:

    Schick halt erst einmal blablabla ab oder verzichte auf GMX oder nutze gleich ein richtiges E-Mail-Programm.

    Ich nutze schon lange ein E-Mail Programm, was meinst du warum mir das aufgefallen ist?

    Was würde es nützen?

    Ich würde sehen wer es ausgestellt hat.
    Ich würde sehen, wann es erstellt wurde. -> Macht Sinn im Bezug auf den Heartbleed Bug.
    Ich sehe, wie lange es noch gültig ist.
    Ich könnte die Fingerprints ansehen und telefonisch vergleichen. Das mache ich Z.B. beim Online Banking, das ist nochmals sicherer als nur der Zertifizierungsstelle zu vertrauen.

    Du wünscht Dir also, zurück nach https://www.gmx.de zu fliegen. Aha.
    Da kannste lange rumprüfen, die Logindaten werden doch nach https://service.gmx.net geschickt. Wie prüfst Du dieses Zertifikat? Was machste bei Ajax?

    Das Zertifikat bei https://www.gmx.de ist von höherer Qualität.
    1. Es wurde nach dem HB Bug neu erstellt.
    2. Es hat eine besseren Zertifikatsunterzeichnungsalgoritmus, SHA-256 Fingerprint, anstatt nur SHA-1
    3. Es gilt für alles unter *.gmx.net
    4. Die Zertifizierungsstelle liegt in Deutschland und ist von der D. Telekom.

    0
  • V

    GMX Bug schrieb:

    DE-Karl schrieb:

    Schick halt erst einmal blablabla ab oder verzichte auf GMX oder nutze gleich ein richtiges E-Mail-Programm.

    Ich nutze schon lange ein E-Mail Programm, was meinst du warum mir das aufgefallen ist?

    Was würde es nützen?

    Ich würde sehen wer es ausgestellt hat.
    Ich würde sehen, wann es erstellt wurde. -> Macht Sinn im Bezug auf den Heartbleed Bug.
    Ich sehe, wie lange es noch gültig ist.
    Ich könnte die Fingerprints ansehen und telefonisch vergleichen. Das mache ich Z.B. beim Online Banking, das ist nochmals sicherer als nur der Zertifizierungsstelle zu vertrauen.

    Du wünscht Dir also, zurück nach https://www.gmx.de zu fliegen. Aha.
    Da kannste lange rumprüfen, die Logindaten werden doch nach https://service.gmx.net geschickt. Wie prüfst Du dieses Zertifikat? Was machste bei Ajax?

    Das Zertifikat bei https://www.gmx.de ist von höherer Qualität.
    1. Es wurde nach dem HB Bug neu erstellt.
    2. Es hat eine besseren Zertifikatsunterzeichnungsalgoritmus, SHA-256 Fingerprint, anstatt nur SHA-1
    3. Es gilt für alles unter *.gmx.net
    4. Die Zertifizierungsstelle liegt in Deutschland und ist von der D. Telekom.

    service.gmx.net resolves to 213.165.65.100

Server Type: Apache

The certificate should be trusted by all major web browsers (all the correct intermediate certificates are installed).

The certificate was issued by Thawte. 	Write review of Thawte

The certificate will expire in 196 days. 	Remind me

The hostname (service.gmx.net) is correctly listed in the certificate.
	Common name: service.gmx.net
SANs: service.gmx.net
Organization: 1&1 Mail & Media GmbH
Location: Montabaur, Rhineland-Palatinate, DE
Valid from September 23, 2013 to October 26, 2014
Serial Number: 5224860990952c652d74576af5fcd72e
Signature Algorithm: sha1WithRSAEncryption
Issuer: Thawte SSL CA

    (von http://www.sslshopper.com/ssl-checker.html#hostname=service.gmx.net )

    0
  • ?

    Und https://ww.gmx.net ergibt

    www.gmx.net resolves to 212.227.223.4

Server Type: Apache

The certificate should be trusted by all major web browsers (all the correct intermediate certificates are installed).

The certificate will expire in 365 days. 	Remind me

The hostname (www.gmx.net) is correctly listed in the certificate.
	Common name: *.gmx.net
SANs: *.gmx.net
Organization: 1&1 Mail & Media GmbH
Location: Montabaur, Rhineland-Palatinate, DE
Valid from April 9, 2014 to April 14, 2015
Serial Number: 57d0fef60dc15be5
Signature Algorithm: sha256WithRSAEncryption
Issuer: TeleSec ServerPass DE-2	

	Common name: TeleSec ServerPass DE-2
Organization: T-Systems International GmbH
Location: Netphen, Nordrhein Westfalen, DE
Valid from February 11, 2014 to July 9, 2019
Serial Number: c75e01582ac3bee7
Signature Algorithm: sha256WithRSAEncryption
Issuer: Deutsche Telekom Root CA 2	

	Common name: Deutsche Telekom Root CA 2
Organization: Deutsche Telekom AG
Location: DE
Valid from July 9, 1999 to July 9, 2019
Serial Number: 38 (0x26)
Signature Algorithm: sha1WithRSAEncryption
Issuer: Deutsche Telekom Root CA 2

    http://www.sslshopper.com/ssl-checker.html#hostname=www.gmx.net/

    0
  • ?

    Korrektur:

    GMX Bug schrieb:

    Und https://www.gmx.net

    0
  • V

    GMX Bug schrieb:

    Korrektur:

    GMX Bug schrieb:

    Und https://www.gmx.net

    hast recht http://www.sslshopper.com/ssl-checker.html#hostname=https://www.gmx.net

    0
  • D

    GMX Bug schrieb:

    DE-Karl schrieb:

    Schick halt erst einmal blablabla ab oder verzichte auf GMX oder nutze gleich ein richtiges E-Mail-Programm.

    Ich nutze schon lange ein E-Mail Programm, was meinst du warum mir das aufgefallen ist?

    Das ergibt keinen Sinn was Du sagst. Ich denke Du sprichst von der Login-Möglichkeit über die GMX-Website. Wenn Du bei einem E-Mail-Programm ein Ziel eingibst, dass Verschlüsselung unterstützt und du die aktivierst, wird das E-Mail-Programm das Zertifikat überprüfen, zumindest tut das Thunderbird und zeigt auch eine Warnung bei einem Zertifikats-Fehler an.

    0
  • ?

    DE-Karl schrieb:

    GMX Bug schrieb:

    DE-Karl schrieb:

    Schick halt erst einmal blablabla ab oder verzichte auf GMX oder nutze gleich ein richtiges E-Mail-Programm.

    Ich nutze schon lange ein E-Mail Programm, was meinst du warum mir das aufgefallen ist?

    Das ergibt keinen Sinn was Du sagst. Ich denke Du sprichst von der Login-Möglichkeit über die GMX-Website. Wenn Du bei einem E-Mail-Programm ein Ziel eingibst, dass Verschlüsselung unterstützt und du die aktivierst, wird das E-Mail-Programm das Zertifikat überprüfen, zumindest tut das Thunderbird und zeigt auch eine Warnung bei einem Zertifikats-Fehler an.

    Doch, das ergibt Sinn, denn ich benutze es nur meistens, also in 97 % der Fälle.
    Es gibt aber auch Fälle in dem ich es mal nicht nutzen kann, dann greife ich zur Weblösung.

    0
  • ?

    Verbindung zur echten Website unter service.gmx.net kann nicht hergestellt werden...
    diese Fehlermeldung erscheint nur bei Google Chrome
    bei Firefox NICHT !

    warum ?

    System: Win XP Home SP2

    welchen Hotfix muss ich für diesen Fehler laden, ohne das komplette SP3 zu installieren !!!?

    VG

    XP Fan 😉

    0
  • ?

    XP Fan schrieb:

    System: Win XP Home SP2

    welchen Hotfix muss ich für diesen Fehler laden, ohne das komplette SP3 zu installieren !!!?

    VG

    XP Fan 😉

    Update dein XP und kauf dir Windows 7.
    XP wird nicht mehr supported, solltest du eigentlich schon lange mitgekriegt haben.

    0
Anmelden zum Antworten