Re: [Konqueror 3.4.2] SSL-Anzeige ohne SSL-Verbindung

2005-10-01 Diskussionsfäden Andreas Pakulat 
On 01.10.05 18:14:47, Heinrich Christian Peters wrote:
> Ich habe aber mittlerweile eine Antwort von bugs.kde.org... Wenn ich
> *richtig* hingeschaut hätte, wäre mir ev. aufgefallen, daß das Schloß
> auf der einen Seite leicht heller ist.

Ok, das nenne ich mal Phishing-Unterstuetzung. Solch eine Aenderung ist
doch nun wirklich nur fuer den rueckwaertigen Ausgang geeignet...

> Das Symbol soll aber jetzt wohl in KDE 4 geändert werden, naja, mal
> sehn, was draus wird.

Ach, wenn ich so lese was es alles in KDE4 geben soll, schlaegt das
nicht vor Sommer 2007 auf dieser Welt auf... Oder es werden einige
Features wieder zurueckgeschraubt...

Andreas

-- 
Perfect day for scrubbing the floor and other exciting things.


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: [Konqueror 3.4.2] SSL-Anzeige ohne SSL-Verbindung

2005-10-01 Diskussionsfäden Heino Tiedemann 
Heinrich Christian Peters <[EMAIL PROTECTED]> wrote:

> Heino Tiedemann schrieb:
>> Es ist ja nicht von der Hand zu weisen: Es wird dem User durch die
>> gelbe Adressleiste und dem Schloss etwas vorgegeukelt, was nicht ist.
>> 
>> Haste mal ein Beispiel URL?
>
> Also, ich hab mal schnell was gebastelt:
> http://www.heinrich-peters.de/ssl-test/ssl-test.html

Das ist allerdings merkwürdig: Konqueror macht die Adressleiste gelb
und stellt das Schloss dar, obwohl nicht mal das Protokoll https
benutzt wird.

>> Der Fiorefox verhält sich da anders: Sofern Teile der Seite nicht
>> sicher sind, ist sein Schloßsymbol zwar da, aber das schloss ist
>> offen:
>> 
>
> Wenn ich das richtig sehe, stellt der Konqueror das Schloß ganz normal
> dar. Ich habe mittlerweie durch einen Hinweis von bugs.kde.org
> festgestellt, daß der Konqueror bei der iframe Geschichte das Schloß
> halbseitig etwas heller darstellt. Die Lösung mit einem offenen Schloß
> ist aber weit auffälliger.

Stimmt, Deine Seite im vergelich zu https://freemail.web.de ist, das
das Schloss halbseitig hellgelb ist.

Aber stimmt auch - Das fällt wirklich kaum auf. Du hast recht, das
offenen Schloss wäre deutlicher.

> Firefox zeigt sich bei einem verschlüsselten iframe übrigens völlig
> unbeeindruckt, färbt nichts ein und stellt auch kein Schloß dar, nicht
> mal ein halb offenes.

Yep.

Heino


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: [Konqueror 3.4.2] SSL-Anzeige ohne SSL-Verbindung

2005-10-01 Diskussionsfäden Heinrich Christian Peters 
Heino Tiedemann schrieb:
> Heinrich Christian Peters <[EMAIL PROTECTED]> wrote:
> 
>>Die sichere Verbindung wird in diesem Fall durch einen iframe aufgebaut,
>>das Nachladen eines Bildes über eine SSL-Verbindung führt noch nicht zu
>>diesem Verhalten.

[...]

> Es ist ja nicht von der Hand zu weisen: Es wird dem User durch die
> gelbe Adressleiste und dem Schloss etwas vorgegeukelt, was nicht ist.
> 
> Haste mal ein Beispiel URL?

Also, ich hab mal schnell was gebastelt:
http://www.heinrich-peters.de/ssl-test/ssl-test.html


> Der Fiorefox verhält sich da anders: Sofern Teile der Seite nicht
> sicher sind, ist sein Schloßsymbol zwar da, aber das schloss ist
> offen:
> 

Wenn ich das richtig sehe, stellt der Konqueror das Schloß ganz normal
dar. Ich habe mittlerweie durch einen Hinweis von bugs.kde.org
festgestellt, daß der Konqueror bei der iframe Geschichte das Schloß
halbseitig etwas heller darstellt. Die Lösung mit einem offenen Schloß
ist aber weit auffälliger.
Firefox zeigt sich bei einem verschlüsselten iframe übrigens völlig
unbeeindruckt, färbt nichts ein und stellt auch kein Schloß dar, nicht
mal ein halb offenes.

Gruß,
Heiner


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: [Konqueror 3.4.2] SSL-Anzeige ohne SSL-Verbindung

2005-10-01 Diskussionsfäden Heinrich Christian Peters 
Andreas Pakulat schrieb:
> 1. Verlasse ich mich nicht auf irgendwelche eingefaerbten Addresszeilen
> 
> 2. Egal ob SSL-verschluesselt oder nicht, ich schaue _immer_ drauf was
> fuer Daten da ueber die Leitung gehen.
> 
> Bin ich jetzt paranoid?

Wohl nicht mehr oder weniger als ich. Ich hatte mich nur gewundert, weil
 er mir plötzlich bei einer Seite, wo ich es nicht erwartet hatte ein
Schloß angezeigt hat...

Ich habe aber mittlerweile eine Antwort von bugs.kde.org... Wenn ich
*richtig* hingeschaut hätte, wäre mir ev. aufgefallen, daß das Schloß
auf der einen Seite leicht heller ist. Das Symbol soll aber jetzt wohl
in KDE 4 geändert werden, naja, mal sehn, was draus wird.

Gruß,
Heiner



-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: [Konqueror 3.4.2] SSL-Anzeige ohne SSL-Verbindung

2005-10-01 Diskussionsfäden Andreas Pakulat 
On 01.10.05 15:32:14, Heinrich Christian Peters wrote:
> Andreas Pakulat schrieb:
> > On 30.09.05 17:30:15, Heinrich Christian Peters wrote:
> > 
> >> Ich persönlich finde das eigentlich nicht so richtig gut. Auf diese
> >>  Weise wird es möglich, daß man einer nicht vertrauensvollen Seite 
> >> durch nachladen von sicheren Inhalten einen besseren Status 
> >> verpasst.
> > 
> > Ja du bist paranoid ;-)
> 
> Naja, gerade weil Phishing (heißt das eigentlich auf englisch auch so?)
> ja in letzter Zeit doch zugenommen hat, finde ich es falsch, wenn der
> Browser eine gesicherte Verbindung anzeigt, wenn nur ein (ev. nicht
> sichtbarer!) Teil über eine SSL-Verbindung kommt. (s. Beispiel)

1. Verlasse ich mich nicht auf irgendwelche eingefaerbten Addresszeilen

2. Egal ob SSL-verschluesselt oder nicht, ich schaue _immer_ drauf was
fuer Daten da ueber die Leitung gehen.

Bin ich jetzt paranoid?

Andreas

-- 
You seek to shield those you love and you like the role of the provider.


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: [Konqueror 3.4.2] SSL-Anzeige ohne SSL-Verbindung

2005-10-01 Diskussionsfäden Heino Tiedemann 
Heinrich Christian Peters <[EMAIL PROTECTED]> wrote:

> Die sichere Verbindung wird in diesem Fall durch einen iframe aufgebaut,
> das Nachladen eines Bildes über eine SSL-Verbindung führt noch nicht zu
> diesem Verhalten.
>
> Ich persönlich finde das eigentlich nicht so richtig gut. Auf diese
> Weise wird es möglich, daß man einer nicht vertrauensvollen Seite durch
> nachladen von sicheren Inhalten einen besseren Status verpasst.

Das hast du gut ausgedrückt. ;-)

> Ich weiß jetzt nicht ob ich das nun irgendwem als Bug melden soll, wenn
> ja, wem. Oder bin ich einfach nur paranoid???

Es ist ja nicht von der Hand zu weisen: Es wird dem User durch die
gelbe Adressleiste und dem Schloss etwas vorgegeukelt, was nicht ist.

Haste mal ein Beispiel URL?

Der Fiorefox verhält sich da anders: Sofern Teile der Seite nicht
sicher sind, ist sein Schloßsymbol zwar da, aber das schloss ist
offen: 



Heino


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: [Konqueror 3.4.2] SSL-Anzeige ohne SSL-Verbindung

2005-10-01 Diskussionsfäden Heinrich Christian Peters 
Moin Andreas,

Andreas Pakulat schrieb:
> On 30.09.05 17:30:15, Heinrich Christian Peters wrote:
> 
>> Ich persönlich finde das eigentlich nicht so richtig gut. Auf diese
>>  Weise wird es möglich, daß man einer nicht vertrauensvollen Seite 
>> durch nachladen von sicheren Inhalten einen besseren Status 
>> verpasst.
> 
> Ja du bist paranoid ;-)

Naja, gerade weil Phishing (heißt das eigentlich auf englisch auch so?)
ja in letzter Zeit doch zugenommen hat, finde ich es falsch, wenn der
Browser eine gesicherte Verbindung anzeigt, wenn nur ein (ev. nicht
sichtbarer!) Teil über eine SSL-Verbindung kommt. (s. Beispiel)

> Aber du solltest das zumindestens als Wishlist Bug auf bugs.kde.org
> melden.

OK, das hab ich gemacht, mal seh'n, was die dazu sagen.

Gruß,
Heiner

 Beispiel 

  
Konqueros SSL-test page
  
  
This page indicates a secure SSL connection, even if it doesn't
use one!


https://www.verisign.de/"; width="0" height="0">




-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: [Konqueror 3.4.2] SSL-Anzeige ohne SSL-Verbindung

2005-09-30 Diskussionsfäden Andreas Pakulat 
On 30.09.05 17:30:15, Heinrich Christian Peters wrote:
> Ich persönlich finde das eigentlich nicht so richtig gut. Auf diese
> Weise wird es möglich, daß man einer nicht vertrauensvollen Seite durch
> nachladen von sicheren Inhalten einen besseren Status verpasst.
> 
> Ich weiß jetzt nicht ob ich das nun irgendwem als Bug melden soll, wenn
> ja, wem. Oder bin ich einfach nur paranoid???

Ja du bist paranoid ;-) Aber du solltest das zumindestens als Wishlist
Bug auf bugs.kde.org melden.

> Ich hätte auch einen Screen Shot der Seite. Wie ist das denn hier mit
> Anhängen? (png-Bild, ca 75 kB)

Wenn du Webspace hast lieber nur verlinken, finde ich - aber ich hab
auch nur Schmalbandanbindung... Ansonsten 75KB gehen noch, ich lade nur
ab 100KB nicht mehr unbedingt runter...

Andreas

-- 
You will be the last person to buy a Chrysler.


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

[Konqueror 3.4.2] SSL-Anzeige ohne SSL-Verbindung

2005-09-30 Diskussionsfäden Heinrich Christian Peters 
Moin,

ich hab bei mir KDE 3.4.2 aus SID laufen (ja, ich weiß was SID ist!).
Beim Konqueror ist mir jetzt aufgefallen, daß er mir bei einigen Seiten
bei http-Verbindung das Schloß-Symbol anzeigt und die Adressleiste gelb
hinterlegt, wie bei https-Verbindungen. Zuerst hab ich das alles für
einen Bug gehalten, aber wenn ich mir die Sicherheitsinformationen
angucke, steht da:
"Ein Teil des Dokuments ist durch SSL abgesichert, der Hauptteil jedoch
nicht.".
Es scheint also so gewollt zu sein...

Die sichere Verbindung wird in diesem Fall durch einen iframe aufgebaut,
das Nachladen eines Bildes über eine SSL-Verbindung führt noch nicht zu
diesem Verhalten.

Ich persönlich finde das eigentlich nicht so richtig gut. Auf diese
Weise wird es möglich, daß man einer nicht vertrauensvollen Seite durch
nachladen von sicheren Inhalten einen besseren Status verpasst.

Ich weiß jetzt nicht ob ich das nun irgendwem als Bug melden soll, wenn
ja, wem. Oder bin ich einfach nur paranoid???

Gruß,
Heiner

P.S.
Ich hätte auch einen Screen Shot der Seite. Wie ist das denn hier mit
Anhängen? (png-Bild, ca 75 kB)


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)