7.5k Aufrufe
Gefragt in Security Viren von
Sehr geehrte Damen und Herren,

mein Arbeitskollege und ich haben Mail-Accounts bei gmx-und web.de. Bei beiden Accounts lässt sich am Ende der Sitzung
zwar der Logout durchführen, der auch bestätigt wird. Wenn man jedoch den Zurück-Pfeil des Browsers betätigt, ist der Posteingang
nach wie vor offen und die Emails lassen sich öffnen. Dieses ist in 70% der Fälle so, nur in Ausnahmefällen muss man sich bei
Aufruf des Accounts erneut anmelden. Es scheint sich hier um ein erhebliches Sicherheitsrisiko zu handeln. Bei anderen Anbietern
wie hier von Arcor ist dieses nicht der Fall. Der Posteingang ist sicher geschlossen und für den wiederholten Zugang ist in jedem Falle ein erneutes Anmelden erforderlich. Als Browser wurden Firefox in der Version 10,11 und 20 auf 3 verschiedenen Computern
zugrundegelegt.
Leider gibt es keine Möglichkeit den gmx-Service und den Web.de-Service zu kontaktieren bei den free-mail Accounts und um Abhilfe zu bitten.
Vielleicht weiß einer von euch Rat.

MfG ! woleu

14 Antworten

0 Punkte
Beantwortet von batbuster Experte (1.4k Punkte)
In diesem Fall hilft auf jeden Fall (wie so oft) Brain.exe ;)

Mal im Ernst, das ist bei vielen Seiten so.

Wenn ich mich z.B. beim Homebanking abmelde, erhalte ich immer die folgende Meldung:

Sicherheitshinweis. Aus Sicherheitsgründen empfehlen wir Ihnen, das Browserfenster zum Ende der Nutzung unserer Internetseiten zu schließen und nicht für den Besuch weiterer Seiten im Internet zu verwenden. Dieser Hinweis gilt insbesondere dann, wenn Sie das Online-Banking nicht von zu Hause, sondern von einem öffentlichen Ort aus nutzen (z. B. Arbeitsplatz, Internet-Café).


Kleiner Aufwand mit großem Effekt.......

So long,

BatBuster
0 Punkte
Beantwortet von kjg17 Profi (34.4k Punkte)
Hallo,

ich hab es eben mal getestet und mag es kaum zu glauben, aber im Gegensatz zum IE oder Chrome kann man mit dem FF tatsächlich in eine zuvor durch Logout beendete verschlüsselte GMX-Verbindung wieder 'zurückblättern' und darin navigieren.

Es war keine 'optimierte' FF-Version von GMX,Web;1&1 und es gab auch keine gespeicherten Formulardaten, die irgendwie abgerufen werden konnten.

Bei 4 anderen Mail-Providern (ohne Web.de) habe ich diesen Test auch mal ausgeführt, aber egal ob verschlüsselt oder unverschlüsselt, es wurde in jedem Fall zu einem erneuten Login aufgefordert.

Ich kann mir das eigentlich nur mit dem Inhalt der 7 GMX-Cookies erklären und dass der FF hier etwas zulässt, was andere Browser blockieren.

Gruß
Kalle
0 Punkte
Beantwortet von mikoop Experte (2.7k Punkte)
Hallo,

Möglicherweise geht das nur bei den kostenfreien Services?
Ich habe das soeben mit meinem (kostenpflichtigen) GMX Pro Zugang versucht, da war ich sauber abgemeldet und kam nicht wieder rein...

Gruss, Mikoop
0 Punkte
Beantwortet von halfstone Profi (18.1k Punkte)
Hallo wolflo,

hab ich dich da richtig verstanden, du kannst nach dem Ausloggen eine Seite zurück gehen (das könnte noch so einfach aus dem Cache kommen) und dann Seiten aufrufen, die du vorher noch nicht aufgerufen hast?

Gruß Fabian
0 Punkte
Beantwortet von kjg17 Profi (34.4k Punkte)
Hallo Fabian,

ich hatte es getestet, das kommt definitiv nicht aus dem Browser-Cache.

Ich hab mich eingeloggt, ohne jede Aktion gleich wieder ausgeloggt und über den FF zurückgeblättert. In dieser Anzeige konnte ich problemlos Ordner öffnen und mir deren Inhalt anzeigen lassen, die ich sie zuvor gar nicht geöffnet hatte.

Um ganz sicher zu gehen hab ich vor dem nächsten Versuch nicht nur die 'Chronik' und die 'Zwischengespeicherten Webinhalte' gelöscht sondern auch noch einen GMX-Account verwendet, bei dem ich mich nach meiner Erinnerung noch nie über den FF angemeldet hatte. Am Ergebnis hat das allerdings auch nichts geändert.

Gruß
Kalle
0 Punkte
Beantwortet von
Was sagt uns das?

Finger weg von Firefox!!! Jedenfalls, solange das nicht gefixt ist...

Geht gar nicht!
0 Punkte
Beantwortet von georg Experte (1.8k Punkte)
Auch ich bin bei GMX und Web.de angemeldet und habe soeben diesen Test mal durchgeführt.

Beide Konten sind die kostenfreie Version.

Mein Browser ist Firefox 20.

Bei beiden Account war es mir, nach Logout, nicht möglich ohne erneute Anmeldung, auf meine E-Mail Fächer zuzugreifen.


Der Fehler liegt also nicht bei FF sondern irgendwo anders....vermute ich mal!

Zur Ergänzung muß ich noch sagen, das ich mit Linux (Ubuntu) meine E-Mail Konten abfrage.

Aber ich glaube nicht, das das von Bedeutung ist.
0 Punkte
Beantwortet von kjg17 Profi (34.4k Punkte)
Hallo woleu,

das hat mir nun doch keine Ruhe gelassen und ich glaube, ich hab die Ursache gefunden. Offensichtlich führt der FF beim 'Zurückblättern' in den Account eine Sitzungswiederherstellung aus.

In die Adresszeile des FF about:config eingeben, die nachfolgende Warnung bestätigen und dann nach session suchen.
Denn Eintrag browser.sessionstore.resume_from_crash durch Doppelklick von 'true' auf 'false' umstellen und den Tab wieder schließen.

Anschließend kann man zwar immer noch zurückblättern und es wird die Anzeige aus dem Cache geladen, aber sobald man irgendwas aufrufen will, wird ewig lang 'Sitzung wird wiederhergestellt' angezeigt, aber sonst passiert nichts weiter.

Da mich das dann gleich auch noch interessiert hat, hab ich diese Einstellung wieder aktiviert und mal den GMX-Account ohne Logout durch einfaches Schließen des Tabs verlassen. Anschließend über Chronik -> Kürzlich geschlossene Tabs den Account wieder aufgerufen und schon war ich ohne Anmeldung wieder drin und konnte mich dort frei bewegen.

Der FF hat schon recht merkwürdige Standard-Einstellungen.

Gruß
Kalle
0 Punkte
Beantwortet von massaraksch Experte (3.1k Punkte)
Der FF hat schon recht merkwürdige Standard-Einstellungen.

Ja, sicherheitstechnisch etwas "überraschend" für den Anwender. War mir auch noch nicht so bewußt :o(

Hab gefunden, daß dies ein schon lange bekanntes und diskutiertes Problem ist. Siehe auch:
https://bugzilla.mozilla.org/show_bug.cgi?id=443354

Die Entwickler meinen im Prinzip: "It's not a bug, it's a feature!"

Alternativ zum völligen Abschalten des Crash-Recovery (browser.sessionstore.resume_from_crash) sollten auch diese Einstellungen abhelfen:

browser.sessionstore.privacy_level
browser.sessionstore.privacy_level_deferred

Beide auf 2 setzen (bedeutet: "Never store extra session data").

Beschreibung hier:
kb.mozillazine.org/Browser.sessionstore.privacy_level

Dann sollten bei der Absturzwiederherstellung oder Session-Speicherung eigentlich keine sensiblen Daten mehr vorhanden sein.

Mal testen...

mfg, Massaraksch
0 Punkte
Beantwortet von kjg17 Profi (34.4k Punkte)
Hallo Massaraksch,

zumindest meinerseits danke für die Ergänzung. 'woleu' als Fragesteller hat sich ja leider in diesem, von ihm selbst angeregten Gedankenaustausch, bisher noch nicht zu einer 'Antwort' aufraffen können.

Ich hatte zwar schon die Vermutung, dass die Deaktivierung von 'browser.sessionstore.resume_from_crash' allein nicht unbedingt die Ideal-Konfiguration ist, allerdings hatte ich zu diesem Zeitpunkt auch einfach nur 'die Schnauze voll' und deshalb nicht weiter gesucht.

"It's not a bug, it's a feature!" - Die richtige Balance zwischen Komfort und Sicherheit zu finden ist bestimmt nicht immer ganz einfach, aber offensichtlich haben andere Mail-Dienst-Anbieter ihrerseits dafür gesorgt, dass dieses FF-Feature bei ihren Accounts einfach nicht zum Zuge kommt, sondern nach einem Logout auch bei einer Sitzungswiederherstellung grundsätzlich ein erneutes Login erfolgen muss.

Insofern sehe ich das nicht nur als ein Problem des FF an, sondern auch als eine Problem von GMX. Weil es dieses offensichtlich bekannte FF-Feature im Interesse der Sicherheit der eigenen Benutzer nicht wirksam ausbremst.

Gruß
Kalle
...