Forschungsgruppe Security • Usability • Society (SECUSO)
suchen
Forschungsgruppe Security • Usability • Society (SECUSO)
Forschungsgruppe Security • Usability • Society (SECUSO)
Startseite
Forschung
Ergebnisse
Benutzerfreundliche S&P Maßnahmen
Schutz von Benutzerkonten
PassSec+

PassSec+ FAQs

Wie komme ich zu den Einstellungen?

Sie wählen im Menü "Add-ons" aus. Dort unter Erweiterungen ist auch PassSec+ gelistet. Hier finden Sie den Button Einstellungen.

  

Wie wird geprüft, ob HTTPS verfügbar ist?

PassSec+ schickt eine Anfrage an die Webseite bei der das http durch https ersetzt wird. Anhand des Statuscodes kann man erkennen ob https verfügbar ist.

Warum werde ich nicht gleich zu dem sicheren Modus umgeleitet, wenn verfügbar?

So erfahren Sie, welche Webseite standardmäßig nicht sicher ist. Wenn Sie dann beispielsweise im Urlaub einen anderen Rechner ohne PassSec+ verwenden, wissen Sie bei welchen Webseiten Sie keine sensiblen Daten wie Passworte und Zahlungsdaten eingeben sollten oder erst nach einem manuellen Wechsel zu https.

Wie wechsle ich manuell zu https?

Hierzu klicken Sie in die Adressleiste des Browsers und ergänzen "https://" am Anfang der Zeile (nach dem Weltkugel Symbol). Anschließend drücken Sie die Return/Enter Taste. Falls dort bereits http:// steht ergänzen Sie lediglich das "s" und drücken die Return/Enter Taste.

Wie wird entschieden, welche Art von Eingabefeld vorliegt?

Im Quellcode der Webseite kann der Typ des Feldes mittels eines HTML-Attributs festgelegt werden. Darüber hinaus wird in dem Inhalt anderer HTML-Attribute nach bekannten Mustern gesucht. So wird zum Beispiel ein Feld mit dem Titel "vollständiger Name" als ein Feld erkannt, in das persönliche Daten eingegeben werden.

Was bedeutet Mixed Content (auch Broken HTTPS genannt) und im Zusammenhang damit 'active' und 'passive'?

Mixed content bedeutet, dass sich auf einer Webseite die mit https verschlüsselt ist auch Elemente die über http geladen werden (oftmals Werbung) befinden. Dabei wird zwischen active und passive mixed content unterschieden. Active sind zum Beispiel Skripte, Links, Abfragen und IFrames. Passive sind Audios, Videos und Bilder. Standardmäßig werden beide Fälle von PassSec+ für die Eingabe von sensiblen Daten nicht als unsicher eingestuft, u.a. weil active content von Firefox standardmäßig geblockt werden. Wenn Sie möchten, dass PassSec+ dies als kritisch (also roter Hintergrund) einstufen soll, dann können Sie dies in den erweiterten Konfigurationen ändern.

 

 

 

 

 

Warum wird aus Sicherheitsgründen zufällig ein Symbol ausgewählt?

Um zu verhindern, dass unseriöse Betreiber auf ihrer Webseite ein solches Schloss im Passwortfeld anzeigen und Sie  sich damit fälschlicherweise in Sicherheit wiegen, wird ein zufälliges Symbol angezeigt. Der Betrüger weiß also nicht, welches Symbol er bei welchem User anzeigen soll. Bei der ersten Installation wird aus einer Menge von Symbolen eines zufällig ausgewählt um genau dieses Problem zu verhindern.

 

 

 

 

 

 

 

 

 

 

Warum kann ich im sicheren Modus auf manchen Seiten (beispielsweise GMX oder WEB) manche Elemente (wie Nachrichten bei GMX und WEB.DE) anklicken?

Die Webseite bietet kein https für die Nachrichten an und kann daher nicht geladen werden. In zukünftigen Versionen soll dieses Problem adressiert werden. Bisherige Lösungsansätze sind zu langsam bei der Überprüfung.

Warum wechselt die Farbe des Rahmens bei manchen Feldern (beispielsweise Lufthansa)?

Manche Webseiten überschreiben die Farbe des Rahmens beim Fokussieren und daher wechselt die Farbe sobald man in das Feld klickt.

Warum wird auf manchen Seiten keine Warnung angezeigt wenn ich mein Passwort gespeichert habe (z.B. bei WEB.DE)?

Auf Webseiten bei denen das Passwortfeld nicht sofort sichtbar ist, ist eine Erkennung nicht immer möglich. In diesen Fällen wird die Warnung nicht automatisch angezeigt, sondern nur nach dem Fokussieren. In diesem Fall wird das Passwortfeld zwar mit rotem Hintergrund und Warndreieck dargestellt aber der Warndialog erscheint nicht automatisch. Wenn Sie aber in das Passwortfeld klicken erscheint der Warndialog und Sie sehen, ob Sie in den sicheren Modus wechseln können.

Was unterscheidet ein Zertifikat mit extended validation (EV) von einem ohne?

Bei einem Zertifikat mit sogenannter Extended Validation wird sorgfältiger und damit zuverlässiger überprüft, ob der Webseitenbetreiber der ist, für den er sich ausgibt. Im Browser ist das anhand einer grünen Markierung in der Adressleiste zu sehen. Weitere Informationen finden Sie beispielsweise auf Wikipedia.


Warum wird neben Google auch noch Startpage als Suchmaschine angeboten?

Startpage ist eine besonders datenschutzfreundliche Suchmaschine. Sie speichert keine IP-Adressen und verfolgt auch das Suchverhalten nicht.

Seit einiger Zeit wird man auf vielen Webseiten über die Cookie-Nutzung benachrichtigt, was hat das zu bedeuten für die Einstellungen, die PassSec+ für mich umgesetzt hat?

Die EU hat ein Gesetz verabschiedet nach dem Webseitenbetreiber über die Nutzung von Cookies auf ihrer Webseite informieren müssen. Diese Cookie-Einstellungen beeinflussen die Einstellungen des Add-Ons nicht. Um sich dennoch zu vergewissern, können Sie unter den Einstellungen des Add-Ons die Cookie Einstellungen erneut anzeigen lassen und ggf. verändern

 

 

 

 

 

 

 

 

 

Was ist mit Feldern, die gar nicht markiert sind?

Entweder kann das daran liegen, dass Sie nicht alle Felder angewählt haben, die überprüft werden sollen, oder das Feld wurde leider nicht erkannt. 

Ich verwende ein Master-Passwort bei Firefox. Warum erscheint die Abfrage mehrmals?

Aufgrund der Programmierung von PassSec+ erscheint die Abfrage des Master-Passworts öfter als nötig. Im Moment gibt es leider keine Möglichkeit dies zu verhindern, für zukünftige Versionen wollen wir dieses Verhalten verbessern und das Problem lösen.

Wieso werden bei lokalen Eingabefeldern als unsicher markiert?

Lokale Seiten, wie beispielsweise Router-Logins, werden fälschlicherweise als unsicher markiert. Wenn man sich sicher ist, dass es sich bei der Adresse wirklich um die des Routers handelt kann man die Warnung ignorieren. Bei einem Router handelt es sich logischerweise um keinen Server, deswegen hat dieser kein https Zertifikat und kann daher nur über http kommunizieren. Wir werden dieses Problem in einer zukünftigen Version beheben.

Wie funktioniert die Phishing-Erkennung?

Bei der Phishing-Erkennung werden die Dienste von Web Of Trust (WOT) und dem Korrekturmechanismus von Google bzw. Startpage verwendet. Beide Dienste liefern eine Einschätzung ob es sich bei der gerade besuchten Webseite um eine Phishing Seite handelt.

Gibt es Webseiten/Kombinationen mit Add-Ons die nicht problemlos funktionieren?

Bei manchen Webseiten funktioniert der Sichere Modus leider nicht, obwohl er angeboten wird oder die Webseite wird fälschlicherweise als Phishing erkannt. Teilweise gibt es auch Add-Ons die sich gegenseitig bei Ihrer Arbeit behindern. Sollten Sie eine solche Webseite finden, würden wir uns über eine Rückmeldung freuen. Sie können die Liste mit den Webseiten jederzeit in den Einstellungen zurücksetzen.

Hier ist eine Liste mit bisher bekannten Webseiten die Probleme machen:

Falls Ihnen weitere Webseiten auffallen können Sie sich gerne an Kristoffer Braun wenden.

Welche der beiden Suchmaschinen (Startpage/Google) soll ich in den Einstellungen auswählen?

Aus Datenschutzgründen empfehlen wir Startpage zu verwenden.

Ich möchte immer automatisch auf https (sicherer Modus) umgeleitet werden, geht das?

Um immer automatisch auf https und damit in den sicheren Modus umgeleitet zu werden, empfehlen wir das Add-On HTTPS Everywhere. Das Add-On wurde genau für diesen Zweck von einer Bürgerrechtsorganisation in den Vereinigten Staaten entwickelt.

Anders als PassSec+ ist es für verschiedene Browser verfügbar.

Ist es möglich die Einstellungen bei mehreren Geräte zu synchronisieren?

Die Einstellungen von PassSec+ selbst werden bereits synchronisiert, falls Sie an mehreren Geräten Firefox mit Firefox Sync verwenden. Leider ist es im Moment nicht möglich die Listen (Datenbanken) mit Webseiten zu speichern, bei denen Sie den sicheren Modus verwenden.