Firefox 60: HTTP-Webseiten im Privaten Modus werden als unsicher markiert
Im Privaten Modus merkt sich Firefox keine Surf-Spuren wie Chronik oder Cookies. Außerdem werden standardmäßig Tracking-Scripts blockiert. Webseiten, welche nicht über HTTPS aufgerufen werden, werden ab Firefox 60 in diesem Modus als unsicher markiert.
Besuchte Webseiten, Eingaben in das Suchfeld und Logins sind Dinge, die sich Firefox, neben anderen Dingen, merkt. Was häufig praktisch ist, ist nicht immer erwünscht. Daher gibt es mit dem sogenannten Privaten Modus eine Betriebsart, bei der sich Firefox all dies nicht merkt. Auch liefert der Private Modus standardmäßig mehr Privatsphäre. Bekannte Tracking-Scripts von Drittanbietern werden nämlich blockiert. Neben einer Verbesserung der Privatsphäre sorgt dies ganz nebenbei für deutlich weniger Werbung auf den Webseiten und für eine spürbar bessere Webseiten-Performance. Ab Firefox 59 wird außerdem der sogenannte Referrer im Privaten Modus erheblich gekürzt, um die Privatsphäre weiter zu verbessern.
Mit Firefox 60 kommt eine weitere Abweichung vom regulären Browsing dazu. Ab dann nämlich werden Webseiten, die über HTTP und nicht über HTTPS aufgerufen werden, mit einem durchgestrichenen Schloss in der Adressleiste und damit als unsicher markiert.
Diese Änderung ist Teil der Bestrebungen aller großen Browserhersteller, Verschlüsselung im Web voranzutreiben. Erst vor kurzem hat Mozilla angekündigt, neue Web-Features nur noch über HTTPS verfügbar zu machen. Basierend auf den Telemetrie-Daten von Firefox erfolgen mittlerweile beinahe 70 Prozent aller Webseiten-Aufrufe über HTTPS. In Deutschland sind es sogar fast 75 Prozent, in den USA über 78 Prozent.
Und was ist der Unterschied zwischen dem hier?
Die http Seiten werden doch schon lange markiert. Auch wenn es kein Passwortfeld gibt.
https://www.soeren-hentzschel.at/firefox/firefox-51-markiert-http-seiten-mit-passwortfeld-als-unsicher/
@Sara:
Ich nutze keinen Tor-Browser. Was genau darf man sich darunter vorstellen?
@Hans:
Nein. HTTP-Seiten werden vor Firefox 60 nicht mit einem durchgestrichenen Schloss in der Adressleiste dargestellt, wenn es kein Passwortfeld auf der Seite gibt. Bis Firefox 59 sieht das, was der Screenshot im Artikel zeigt, exakt so aus, bloß mit dem Unterschied, dass das dritte Symbol (das durchgestrichene Schloss) nicht vorhanden ist.
Bei mir (noch Version 52 ESR) sind tatsächlich manche HTTP-Seiten auch ohne Passwortfeld mit einem durchgestrichenen Schloss markiert, beispielsweise http://type.method.ac/. Die im Beispiel verwendete Seite kicker.de hat dagegen bei mir (wie behauptet) kein durchgestrichenes Schloss. Eine Logik kann ich bei den von mir betrachteten Seiten nicht erkennen.
Wenn du auf das Symbol in der Adressleiste klickst, erkennst du bei der von dir genannten Seite durch den Hinweis im sich dann öffnenden Panel, dass es um Zugangsdaten geht. Hier wird also von Firefox tatsächlich ein Zugangs-Formular entdeckt.
Es muss nicht tatsächlich ein solches Formular vorhanden sein. Du musst bedenken, dass es nicht einen einzigen fest definierten Weg gibt, wie Zugangs-Formulare aufgebaut sind. Noch komplizierter wird es, wenn die Struktur der Seite teilweise dynamisch erzeugt wird. Deswegen müssen alle Browser ihre eigenen Algorithmen anwenden, um möglichst zuverlässig zu erkennen, ob ein Login existiert oder nicht. Und je unkonventioneller die Vorgehensweise einer Webseite ist, bestimmte Dinge umzusetzen, desto eher kann es passieren, dass auch mal etwas falsch erkannt wird.
Ich würde einen solchen Fall einfach mal auf bugzilla.mozilla.org melden und vielleicht (keine Garantie) kann die Erkennung für diesen Fall verbessert werden oder es gibt zumindest eine Erklärung, wie es dazu kommt.
Vermute stark, dass Firefox aufgrund folgendem HTML-Code meint, dass es sich um eine Seite mit Anmeldedaten handelt:
Das ganze sieht dann folgendermaßen aus: Screenshot