Firefox 49 nutzt HTTP-Passwörter auf HTTPS-Webseiten
Immer mehr Webseiten stellen von einer unverschlüsselten HTTP- auf eine verschlüsselte HTTPS-Übertragung um. Für die Nutzer ist das eine gute Sache, bedeutet bisher allerdings auch, dass über HTTP gespeicherte Passwörter nicht automatisch auf der HTTPS-Version zur Verfügung stehen. Dies ändert sich ab Firefox 49.
Firefox besitzt einen Passwortmanager, welcher beim Merken von Passwörtern hilft. Bislang unterscheidet Firefox zwischen HTTP und HTTPS, das heißt, dass die gleiche Domain unter HTTP und HTTPS jeweils einen eigenen Eintrag im Passwortmanager darstellt und wenn eine Seite bislang nur über HTTP erreichbar war, gespeicherte Zugangsdaten nach der Umstellung der Webseite von HTTP auf HTTPS nicht automatisch vorgeschlagen werden.
Ab Firefox 49 stehen die HTTP-Passwörter auch für die HTTPS-Version der gleichen Domain zur Verfügung. Die Änderung gilt nicht für den umgekehrten Fall: über HTTPS gespeicherte Passwörter stehen aus Sicherheitsgründen weiterhin nicht automatisch für die HTTP-Version einer Webseite zur Verfügung. Aus dem gleichen Grund werden Passwort-Änderungen bei der HTTPS-Version einer Webseite auch weiterhin nicht automatisch für die HTTP-Version mit gespeichert.
Nice little thing.
Hi,
kann man den Passwortmanager eigentlich irgendwie so einstellen das er das Master Passwort nur abfragt wenn man die Passwörter einsehen will?
Bei jedem Start eingeben ist mir zu übertrieben.
Nutzt du Sync? Denn dann nutzt du ja bei jedem Start die Passwörter.
Das ist wirklich sinnvoll. Gleiches sollte aber auch für die gesamte URL gelten.
Ich habe mich schon oft darüber "geärgert", dass ein Passwort das auf http://www.domain.com gespeichert wurde nicht auf domain.com oder m.domain.com (m für mobile) funktioniert. So habe ich einige Passwörter im Passwortmanager doppelt.
Es lässt sich aber nicht allgemein ableiten, dass unterschiedliche Subdomains die gleichen Zugangsdaten verwenden sollten.
Wobei es ja Bestrebungen gibt dass man Domains für Logins als Gruppe zusammenfassen kann.
Gab da sogar nen Bug für
https://bugzilla.mozilla.org/show_bug.cgi?id=494593
Bestrebungen gibt es keine. Das Ticket ist ein vor sieben Jahren eingereichter Vorschlag eines Nutzers. Vor zwei Jahren gab es ein paar wenige Kommentare dazu und seit dem ist auch wieder gar nichts passiert.
Gilt das auch umgekehrt? Sollte in der Regel nicht so sein, aber hatte es mal erlebt, dass jemand von HTTPS auf HTTP wieder umgestiegen ist. 🙁
Siehe Artikel:
😉
Danke. Hups, da hab ich mal wieder nicht genau hingeschaut.
Hi,
also der kommentar rss hat ne ganz schöne Verspätung gehabt.
Nö, benutze kein sync. Und ich dachte da eigentlich an Thunderbird. Der verlangt beim start das Master Passwort.
Was hat Thunderbird denn mit diesem Artikel zu tun? Da geht es ja nicht einmal um das gleiche Produkt… Aber auch Thunderbird greift logischerweise beim Programmstart auf die Passwörter zu, um neue E-Mails abzurufen.
Ich ging davon aus das die Passwort Manager von Fx und Tb aus dem gleichen Code bestehen.
So wie du reagierst scheint das falsch zu sein. Sorry, vergiss es einfach.
Es hat einfach überhaupt nichts mit dem Artikel zu tun. Und dennoch habe ich dir ja geantwortet.
Bei der selben Domain können doch auf Port 80 und 443 ganz andere Inhalte ausgeliefert werden!? Das war zum Beispiel bis vor Kurzem auf forbes.com so (inzwischen ist 443 aber einfach ein Redirect auf 80).
Viele Firmenwebsites haben zum Beispiel auf dem 443 den Backend-Login zu ihrem CMS, und das Frontend (wo es auch Frontend-Logins geben kann) auf 80. Wie unterscheidet FF da, wenn ich pro Port verschiedene Logins auf derselben Domain hinterlegt habe?
Naja, mir persönlich kann es egal sein, meine Passwörter werden nur in meinen eigenen biologischen Synapsen gespeichert. 😉
Theoretisch ist das möglich, in der Praxis ist das sehr, sehr viel seltener als dass es sich entweder um den komplett gleichen Inhalt handelt oder es nur entweder das eine oder das andere gibt. Da ich keine Seite kenne, die das so handhabt, kann ich nichts dazu sagen, wie Firefox sich da verhält.