Home - Impressum - E-Mail


2006-09-05

Mozilla Firefox: Warnschwelle bei nicht benoetigter Authentifizierung senken

Ein beliebter Trick zur unbemerkten Umleitung von Benutzern auf wenig vertrauenswuerdige Webseiten ist das Einfuegen eines moeglichst langen Benutzernamens in eine URL. Das genaue Verfahren wird hier beschrieben. Firefox versucht, den Benutzer vor diesem Problem zu schuetzen. Dazu wird zunaechst geprueft, ob die so angesprochene Website ueberhaupt nach einem Benutzernamen verlangt. Ist das nicht der Fall, erscheint diese Meldung:

"Sie sind dabei, sich bei der Website fl7.de mit dem Benutzernamen 12345678901234567890 anzumelden, aber die Website benötigt keine Authentifizierung. Dies könnte ein Versuch sein, Sie zu täuschen. Ist fl7.de die Website, die Sie besuchen möchten? Ja / Nein"

Wird jedoch ein Benutzername erwartet, so verlangt Firefox trotzdem nach einer Bestaetigung. Schliesslich waere es ein leichtes, die Zielwebsite mit HTTP-Authentifikation auszustatten, um die oben genannte Warnung zu umgehen.

Wie die meisten Warnungen dieser Art hat auch diese Meldung ihre Daseinsberechtigung, kann aber gerade jene Benutzer, die mit der Problematik vertraut sind, nach einiger Zeit stoeren. Entsprechend wurde diese Funktion auch in https://bugzilla.mozilla.org/show_bug.cgi?id=243572 diskutiert.

Letztlich bleibt wieder der Weg ueber about:config: Hier kann die Einstellung network.http.phishy-userpass-length als Integer angelegt und mit einem Wert belegt werden, der bestimmt, wie viele Zeichen vor dem @-Zeichen in einer URL von Firefox toleriert werden sollen. Erst bei Erreichen der hier eingestellten Zeichenanzahl wird eine der oben genannten Warnungen angezeigt. So kann die sonst sehr niedrig angesetzte Warnschwelle - der Standardwert ist 1, es wird also bereits ab dem ersten Zeichen und somit immer gewarnt - moderat erhoeht werden, ohne die grundsaetzlich sinnvolle Funktion komplett auszuschalten.


Home - Impressum - E-Mail