Sicherheitslücke?

"Diese Verbindung ist nicht sicher. Ihre Zugangsdaten könnten auf dieser Seite in falsche Hände geraten!"

Diese Nachricht kommt, wenn ich mich bei Firefox (Windows 10 - Laptop) mit meinen eingespeicherten Benutzerdaten anmelden möchte.

Was hat das zu bedeuten? Ist das eine Sicherheitslücke?

Hi,

ich gehe davon aus, dass hier lediglich ein veraltetes Zertifikat vorliegt. Bitte mal Cache löschen und dann nochmal versuchen.

Sollte das Problem weiterhin vorliegen, bitte mal einen Screenshot machen und zusammen mit der Fehlerbeschreibung direkt an info@comunio.de schicken!

Sowohl Firefox als auch Chrome wird zukünftig deutlich sichtbar auf unsicheren Websites Warnungen einblenden, auf denen die entsprechenden Sicherheitsrichtlinien nicht eingehalten werden.

Evtl bringt das bei Comunio endlich etwas Bewegung in die Sicherheitspolitik, die seit Jahren zu Recht kritisiert wird. Passwörter werden noch immer unverschlüsselt gesendet und im Klartext gespeichert. Das war bereits vor 10 Jahren ein No-Go!

Topic entsprechend: Ja, es ist eine Sicherheitslücke, die bereits seit Bestehen der Website existiert.

Hier ein Auszug aus der Benachrichtigung der jeweiligen Websites von Google:

Zitat:

Nonsecure Collection of Passwords will trigger warnings in Chrome 56 Beginning in January 2017, Chrome (version 56 and later) will mark pages that collect passwords or credit card details as “Not Secure” unless the pages are served over HTTPS.

*Sancho* hat folgendes geschrieben:

Hi, ich gehe davon aus, dass hier lediglich ein veraltetes Zertifikat vorliegt. Bitte mal Cache löschen und dann nochmal versuchen. Sollte das Problem weiterhin vorliegen, bitte mal einen Screenshot machen und zusammen mit der Fehlerbeschreibung direkt an info@comunio.de schicken!

Liegt weiterhin vor. So sieht das aus:

news?

Habe heute die selbe Erfahrung gemacht.

Mozilla schlägt vor, die Seite vorerst zu meiden

https://support.mozilla.org/t5/Probleme-beheben/Was-bedeutet-Diese-Verbindung-ist-nicht-sicher/ta-p/33663

Naja, sagen wir es mal so:

Die Warnungs-Meldungen werden zukünftig seitens der Browserhersteller zunehmend offensiv und eindeutig angezeigt um die Benutzer für die Sicherheitsthematik zu sensibilisieren.
Zur Zeit werden von aktuellen Browsern bereits Warnungen innerhalb der unsicheren Login-Felder angezeigt.
Das Risiko eines Datendiebstahls lässt sich letztendlich nur durch das Meiden unsicherer Seiten reduzieren.

HTTPS ist letztendlich kein Hexenwerk und sollte ansich seit Jahren der Standard für Websites mit Benutzerinteraktion sein.

Bei Comunio wird bereits seit Jahren der Sicherheitszustand kritisiert, dass Passwörter unverschlüsselt versendet und im Klartext gespeichert werden, etc.
Da die "Entwicklung" aber seit jeher mit sämtlichen Aufgaben überfordert wirkt und Fehler entweder sehr schleppend oder gar nicht behoben werden, glaube ich nicht, dass diese Seite in absehbarer Zeit die notwendige HTTPS Anbindung verpasst bekommt.

Das selbe Szenario trifft im Übrigen auch auf die grausige Beta-Version zu.

Ich lasse mich natürlich gern vom Gegenteil überraschen

Ist mittlerweile etwas Bewegung in die Sache gekommen?

Es wäre auch mal schön, wenn auch die Passwortbeschränkung von 8 Zeichen mal deutlich erhöht wird.

Prio sollte aber die komplette https Umsetzung haben.

bei mir wird das auch angezeigt. Wird bei comunio was dagegen unternommen oder ist das so "gewollt"?

deHorst hat folgendes geschrieben:

Ist mittlerweile etwas Bewegung in die Sache gekommen?

Ich hatte ne Mail mit Verweis auf diesen Thread und dem Problem geschrieben und vom comunio-support folgende Antwort erhalten:

Hallo,
es ist keine Sicherheitslücke. https ist sicherer und Firefox weist
daraufhin seit dem neuesten Update hin. Bei Comunio gibt es derzeit
nur http Verbindungen.

Viele Grüße

Interessant, dann bilde ich mir das https oben in der Browserzeile nur ein!

Generell ist es keine Sicherheitslücke an sich, aber es ist ein Risiko, was nicht sein muss. Zumal das ja auch nicht sonderlich schwer zu beheben ist...

Und Passwörter werden auch immer noch im Klartext gespeichert? Erinnert mich alles ein wenig an die Oil and Gas International...

Ich habe gerade überlegt ob es Sinn macht den Thread nach "Verbessungsvorschläge" verschieben zu lassen. Aber im Grunde ist es im Jahr 2017 eindeutig ein Bug. Comunio ist da seit langem nicht mehr state of the art. Ich will nicht wissen wie viele User hier das gleiche Passwort an anderen relevanten Stellen einsetzen. Und die Passwörter hier abzufangen ist wirklich easy ohne Transportverschlüsselung. Daher wäre ich wirklich daran interessiert, dass Comunio (statt an dem scheußlichen Design herumzubasteln lieber) die Energie auf etwas sinnvolles verwendet: Transportverschlüsselung!

Edith sagt: Und ja, der Admin von Oil and Gas International dachte auch seine Site hat keine Sicherheitslücken.

Habe das Problem auch. Es hat ja seine Gründe, weshalb die Browser mittlerweile so penetrant diese Hinweise geben. Aber die Verantwortlichen bei Comunio scheinen sich nicht dafür zu interessieren, Hauptsache die Kohle fürn Pro Player ist pünktlich aufm Konto, was?

Mir geht's langsam auf die Nerven: Die miserable Kommunikationspolitik und der lapidare Umgang mit unserer Sicherheit (nicht die Firefox/Chrome-Meldung).
Um es mal betriebswirtschaftlich auszudrücken: diese beiden Sachen hindern mich daran, Geld für Comunio auszugeben oder meinen Adblocker auszuschalten.

Ich hatte mir vor vielen Jahren AdBlock übrigens WEGEN Comunio angeschafft, weil es damals verlangsamende und äußerst nervige Werbung geschaltet hatte. Keine Ahnung, wie es heute ist.

*push*

Solche wichtigen Themen sollten nicht einfach untergehen.

Echt jetzt - jede Pornoseite im Netz ist sicherer als comunio.de
Bitte um Veröffentlichung einer Terminplanung, wann gedacht wird, eine (im übrigen kostenlose) sicherere Variante des Protokolls eingesetzt wird.

Hallo in die Runde,

also ich finde das Verhalten von Comunio inakzeptabel! Warum kann sich ein Verantwortlicher dazu nicht mal äußern? Da es sich mit anderen sinnvollen Verbesserungen ähnlich verhält, habe ich fast die Befürchtung, die haben in einem dunklen Kämmerlein gerade mal einen einzigen Programmierer sitzen. Da muss man sich schon fragen, ob unsere Mitgliedsbeiträge hier sinnvoll eingesetzt werden.

Gruß
Lu

Ich kann euch nur raten ne kurze Email mit eurem Problem/eurer Fehlermeldung an info@comunio.de zu schicken - am besten mit Verweis und link zu diesem Thread.
Da wird eigentlich immer schnell geantwortet!

Umso mehr Leute das tun umso effizienter ist das Ganze und umso ernster wird es auch genommen. Wenn ich da als Einzelner ne Mail schreibe bleibt das wirkungslos!

Alter, kriegt endlich mal eure Sicherheitsprobleme in den Griff.

Ich wollte gerade ins Forum wechseln und dann kam das:



Ich musste also auf "Laden fortsetzen" klicken (obwohl davon streng abgeraten wird) um überhaupt ins Forum zu kommen.

Da ist man doch echt auf illegalen Streaming-Seiten sicherer. Alter hab ich nen Hals!! Und kommt mir jetzt nicht mit Cache leeren oder so was. Das ist mittlerweile mit meinem Surface, dem Laptop meiner Freundin und dem Arbeits-PC so!!

Comunio ist ein Phänomen.
Ich kenne kein Unternehmen, das eine wirklich brilliante Grundidee so grottenschlecht umsetzt und vermarktet. Man hat das Gefühl, die wollen gar kein Geld verdienen.
Zwei Beispiele:
1.Als die neue Plattform vor gut zwei Jahren als Betaversion zum Thema wurde habe ich angefragt, ob man denn die alte Version sicher noch die gesamte Folgesaison durchspielen kann, weil ich sonst meine siebenjährige Mitgliedschaft (Pro) kündigen würde.
Antwort: Könne wir nicht zusichern. Daraufhin gekündigt, spiele seit zwei Jahren jetzt als Lauspieler und kann immer noch (Gott sei dank) mit der alten Version spielen. Wenn nur noch die neue benutzerfeindliche Version geht, bin ich dann eh ganz weg.
Fazit: Ich muß mir Infos umständlich bei Kicker etc. besorgen und Comunio fehlen zwei Jahresbeiträge.
2. Da ich wahrscheinlich Meister werde habe ich gedacht, na komm, investiere ich halt die gesparten Beiträge in den Glaswanderpokal. Aber Pustekuchen, kein vernünftiger Browser lässt einen auf die Shopseite.
Lieber Fabian, nimm meinen Dank für die tolle Grundidee, aber überleg dir doch vllt. mal, ob du nicht den ganzen Laden einem Profi verkaufst.

LG, Glavo

Ich hab gedacht: Okay, schreibst doch mal ne offizielle Mail an Comunio wegen der Sicherheitslücken, wie von Rastabooze empfohlen. Das ist mindestens nun schon gefühlte zwei Wochen her und bis heute keine Reaktion. Das passt genau ins Bild ...

@Lu-san: Ich glaube schon dass das in Summe etwas bringt.

Vor 3 Tagen schrieb mir der Support:

Hallo,
danke für den Hinweis. Ich werde es weiterleiten.

Viele Grüße,
Markus

Naja, bin seit 14 Jahren dabei und es wird von Jahr zu Jahr schlechter. Ich denke es reicht nun und ich werde kündigen. Evtl. mal Bitte keine Werbung posten anschauen obwohl mir eigentlich das comunio Prinzip gefiel...