Anbieterforum
Forum zu:
GMX
Threads:
153 54 55147
Menü

GMX-Mail-Login sicher?


31.07.2004 13:03 - Gestartet von b.a.
Hallo.

Wenn man sich online bei GMX einloggt, kann man als normaler Benutzer (also freies Emailkonto) keine SSL-Einwahl benutzen, also nicht https, sondern nur http.

Beim Mailabholen per Emailprogramm und pop3 dagegen kann man TLS (-> was ist das eigentlich) und SSL benutzen.

Kann also jeder im Klartext mitlesen, wenn ich mein Passwort beim Online-Login schicke? Sollte man also besser einen anderen Provider benutzen bzw. für den SSL-Login zahlen?
Menü
[1] j.m. antwortet auf b.a.
28.10.2004 19:19
Seit neuestem geht SSL auch bei Freemail zumindest zur Einwahl.

Das Passwort wird also verschlüsselt übertragen, danach wieder ohne.

GMX-Info dazu: "Kunden in den GMX FreeMail-Tarifen können über den oben genannten https-Zugang die Login-Informationen (e-mail-Adresse und Passwort) verschlüsselt übertragen. Die weitere Datenübertragung nach dem Login erfolgt dann wieder unverschlüsselt."

Kann jemand bestätigen, dass das Passwort also nicht lesbar ist, aber der Datentraffic danach, welcher aber zumindest das Passwort nicht mehr enthält?
Menü
[1.1] fruli antwortet auf j.m.
28.10.2004 21:31
Hi,
Benutzer j.m. schrieb:
Seit neuestem geht SSL auch bei Freemail zumindest zur Einwahl. Das Passwort wird also verschlüsselt übertragen, danach wieder ohne.
GMX-Info dazu: 'Kunden in den GMX FreeMail-Tarifen können über den oben genannten https-Zugang die Login-Informationen (e-mail-Adresse und Passwort) verschlüsselt übertragen. Die weitere Datenübertragung nach dem Login erfolgt dann wieder unverschlüsselt.'

Kann jemand bestätigen, dass das Passwort also nicht lesbar ist, aber der Datentraffic danach, welcher aber zumindest das Passwort nicht mehr enthält?

Ja, ich kann das bestätigen; ich hab es eben mittels 'lynx -noredir www.gmx.net' gecheckt: beim Login mittels https://www.gmx.net wird der Benutzername und das Passwort noch per sicherem https übertragen und dann auf unsicheres http gewechselt.

Allerdings ist das ganze immer noch unsicher, denn zur Änderung des GMX-Passworts wird beispielsweise weiterhin eine normale http-Verbindung verwendet.

Ich empfinde die fehlende SSL-Verschlüsselung selbst für GMX-Freemail-Kunden mit kostenpflichtigem GMX-Internet-Zugang (Schmalband/DSL) übrigens seit jeher als eine eklatante Sicherheitslücke bei GMX: selbst die Änderung des GMX-Internet-Zugangs-Passworts erfolgt unverschlüsselt ohne SSL. Das dürfte IMHO nicht sein ...

So long.
fruli
Menü
[1.1.1] j.m. antwortet auf fruli
28.10.2004 21:51
Allerdings ist das ganze immer noch unsicher, denn zur Änderung des GMX-Passworts wird beispielsweise weiterhin eine normale http-Verbindung verwendet.

Daran hatte ich noch gar nicht gedacht. Dann darf man sein Passwort auch einfach nicht mehr ändern. Sonst könnte es ja ausgespäht werden.

Man sollte GMX bitten, auf den Hinweis, dass man sein Passwort länger nicht mehr geändert hat, zu verzichten, weil sie damit ja direkt zur Benutzung einer unverschlüsselten Seite zur Passwortänderung aufrufen.

Ich empfinde die fehlende SSL-Verschlüsselung selbst für GMX-Freemail-Kunden mit kostenpflichtigem GMX-Internet-Zugang (Schmalband/DSL) übrigens seit jeher als eine eklatante Sicherheitslücke bei GMX: selbst die Änderung des GMX-Internet-Zugangs-Passworts erfolgt unverschlüsselt ohne SSL. Das dürfte IMHO nicht sein ...

Finde ich auch nicht richtig. Aber das große Jammern kommt erst dann, wenn Missbrauch stattfand und aufgedeckt wurde.