Anmeldeprobleme mit Firefox und NoScript [Update]
Wegen einer neuen Sicherheitsfunktion der Firefox-Erweiterung NoScript funktioniert die Anmeldung auf diversen Sites nicht mehr. Konkret tritt das Problem dann auf, wenn die Anmeldung verschlüsselt erfolgt, die eigentlichen Seiten dann aber unverschlüsselt angezeigt werden.
Dann setzt nämlich die standardmäßig aktive NoScript-Funktion "Automatisches sicheres Cookie Management" das sogenannte Secure-Flag auf das Session-Cookie. Damit verwendet der Browser es nicht mehr für unverschlüsselte Seiten. Die Idee ist grundsätzlich nicht schlecht, wenn die weiterführenden Seiten komplett via https verfügbar sind, wie es beispielsweise beim Online-Banking oder auch einem Webmail-Angebot der Fall sein sollte. Denn NoScript verhindert dann spezielle Angriffe, bei denen ein Lauscher im Netz einen Verweis auf eine unverschlüsselte URL in eine Seite einschmuggelt, um das Session-Cookie abzufangen.
Probleme bereitet die Funktion aber auf auf Seiten wie eBay, Twitter oder bei den heise online-Foren, bei denen die Anmeldung auf einer verschlüsselten https-Seite erfolgt, das Angebot selbst jedoch unverschlüsselt übertragen wird. Bei heise online zum Beispiel erfolgt die Anmeldung auf einer verschlüsselten https-Seite. Diese setzt ein Session-Cookie, das NoScript dann mit dem Secure-Flag versieht, wie man in der Firefox-Fehlerkonsole beobachten kann:
Dann setzt nämlich die standardmäßig aktive NoScript-Funktion "Automatisches sicheres Cookie Management" das sogenannte Secure-Flag auf das Session-Cookie. Damit verwendet der Browser es nicht mehr für unverschlüsselte Seiten. Die Idee ist grundsätzlich nicht schlecht, wenn die weiterführenden Seiten komplett via https verfügbar sind, wie es beispielsweise beim Online-Banking oder auch einem Webmail-Angebot der Fall sein sollte. Denn NoScript verhindert dann spezielle Angriffe, bei denen ein Lauscher im Netz einen Verweis auf eine unverschlüsselte URL in eine Seite einschmuggelt, um das Session-Cookie abzufangen.
Probleme bereitet die Funktion aber auf auf Seiten wie eBay, Twitter oder bei den heise online-Foren, bei denen die Anmeldung auf einer verschlüsselten https-Seite erfolgt, das Angebot selbst jedoch unverschlüsselt übertragen wird. Bei heise online zum Beispiel erfolgt die Anmeldung auf einer verschlüsselten https-Seite. Diese setzt ein Session-Cookie, das NoScript dann mit dem Secure-Flag versieht, wie man in der Firefox-Fehlerkonsole beobachten kann:
[NoScript HTTPS] AUTOMATIC SECURE on https://www.heise.de:
ssoheisede=%7B%22...; domain=www.heise.de; path=/; Secure
Da die Foren-Seiten aus Performance-Gründen unverschlüsselt angezeigt
werden, sendet der Browser das derart gesicherte Session-Cookie nicht
mehr an den Heise-Server und es scheint, als sei die Anmeldung
fehlgeschlagen. Analog lässt sich das beispielsweise auch bei eBay
Das Problem ist bei den NoScript-Entwicklern bekannt und auch dokumentiert.
Sie empfehlen als Workaround für derartige Seiten, die entsprechende
Domain in die Ausnahmeliste "Ignore unsafe cookies set over https"
einzutragen. Bei heise online schafft ein Eintrag mit "*.heise.de"
Diese Ausnahme reduziert zwar den Schutz gegen Lauscher, die
beispielsweise in einem WLAN das Session-Cookie erschnüffeln könnten.
Ist die standardmäßig aktive Funktion "Auf IP-Adresse beschränken"
gesetzt, kann er sich aber von einem anderen Rechner aus nur anmelden,
wenn er auch die IP-Adresse, von der die Anmeldung erfolgt ist, kapert.
Ob andere Sites ähnliche Schutzvorkehrungen treffen, lässt sich leider
nicht allgemeingültig beantworten.
Update:
Natürlich kann man um die Login-Probleme los zu werden, auch
"Automatisches sicheres Cookie Management" abschalten. Das haben die
NoScript-Entwickler jedenfalls jetzt vorsorglich mit Version 1.8.1.2
getan. Wer unter Extras/Add-ons die Updates nachlädt, dem wird derzeit
sogar schon Version 1.8.1.3
angeboten, das die Cookies ebenfalls nicht ändert. Die Entwickler
wollen die Funktion nun doch erst ausgiebig testen, bevor sie sie
allgemein aktivieren.
allgemein aktivieren.
nicht allgemeingültig beantworten.
Abhilfe.
beobachten.
ssoheisede=%7B%22...; domain=www.heise.de; path=/; Secure
0 Kommentare:
Kommentar veröffentlichen
Abonnieren Kommentare zum Post [Atom]
<< Startseite