Formularsicherheit

[Irene]

Zumindest beim IE ist das nicht ganz so. Eine HTTPS-Seite wird immer mit dem Verschlüsselungs-Symbol angezeigt. Falls Elemente auf dieser Seite (Javascript, Bilder) nicht über HTTPS geholt werden, hängt das Verhalten von den Einstellungen ab. In den Sicherheitseinstellungen einer Zone unter "Gemischte Inhalte anzeigen" kann der Benutzer wählen zwischen Aktivieren, Deaktivieren und Bestätigen.

Aktivieren: die unsicheren Elemente werden kommentarlos angezeigt resp. ausgeführt
Deaktivieren: unsichere Elemente werden nicht angezeigt resp. ausgeführt (evtl. gar nicht vom Server geholt, weiss ich nicht)
Bestätigen: der Benutzer jeweils wird über ein Meldungsfenster auf die unsicheren Elemente hingewiesen und kann entscheiden, ob er sie anzeigen/ausführen lassen will oder nicht

Wie das beim Firefox ist, weiss ich nicht.

Griessli
Irene

 

[Christian_]

@Irene:

Firefox meldet dann z.B. "Warnung: Inhalte teilweise nicht authentifiziert." und verweigert die Darstellung als sicher (durchgestrichenes Hängeschloss als Symbol).

Leider unterbleibt diese Warnung jedoch, wenn die eingebundenen Elemente ebenfalls authentifiziert sind und per https übertragen werden.

 

[Irene]

Merci für die Info.

Im Prinzip kann man ja den Eigentümer des SSL-Zertifikats über ebendieses Zertifikat finden. Insofern könnte man also einen "Bösewicht" identifizieren, und dessen Zertifikat würde sofort gesperrt. Allzuviel Schaden sollte auf diesem Weg also nicht entstehen. Aber Du hast schon recht, es wäre zumindest sinnvoll, wenn der Benutzer informiert würde, woher die verschiedenen Elemente einer Seite stammen und vor allem dass sie nicht vom gleichen Server kommen.

Griessli
Irene

 

[sd12]

Wenn der Server GET Variablen verarbeitet und ausgibt, erübrigt sich die ganze Disskusion.

Denn dann kommen die Daten vom "sicheren" Server.

 

[PH]

Ich glaube, hier können die OSI-Layer helfen: HTTP und HTTPS sind Protokolle, und müssen also ausgehandelt werden, bevor die Daten gesendet werden (egal in welche Richtung).