Huhu,
so ist es. Allerdings kritisiere ich auch, dass Firefox das jetzt so macht. Ich mag zwar selbst den Firefox sehr gerne und nutze ihn auch als Primärbrowser und bin auch sehr froh, dass Mozilla sich so für Websicherheit einsetzt und unter anderem auch an der Let's encrypt Kampagne teilnimmt, die https im Web massiv vorangetrieben hat.
Aber:
Diese Sache mit der Riesen Meldung kritisiere ich. Meiner Ansicht nach macht Firefox damit Leuten die sich mit dem Web und der ganzen Sache nicht auskennen das Leben im Web unsicherer als sicherer, weil das Feature nicht aus Einsteiger sondern nur aus Profisicht betrachtet wurde. Mittlerweile sind schon weitere Phishing Mails aufgetaucht, die auf https Seiten leiten mit gültigen Zertifikaten. Was man den Web-Einsteigern früher also eingetrichtert hat mit "Guck, dass Deine Adressleiste grün ist, wenn Du Banking oder Shopping machst" ist schon eine Regel, die mittlerweile so einfach nicht mehr anwendbar ist.
Firefox hat mit seinem neuen Feature meiner Ansicht nach eine Scareware entwickelt:
Seiten wie Foren, auf denen man sich noch bedenkenlos einloggen könnte ohne Probleme signalisieren einem unerfahrenen Anwender, dass etwas nicht in Ordnung wäre - das Sorgt für Verwirrung. Davon ab wird der unerfahrene Anwender gerade darauf konditioniert: "Wenn mein Firefox keine Meldung bringt, ist alles in Ordnung". Und das ist gerade bei der neuen verschlüsselten Phishing Welle ein massives Sicherheitsrisiko für Anwender, wenn man ihnen dahingehend das Denken abtrainiert und sie sich nur auf diese Meldung verlassen, die zum einen in falscher Sicherheit wiegt, zum anderen auch gerne mal in falscher unsicherheit.
Das CF4 kann von Haus aus https:// wie gesagt sind aktuell nur die Bild-Einbettungen von Usern ohne Verschlüsselung schwierig, was sich ja ab dem nächsten Update löst. Aber selbst davon ab finde ich die Neuregelung von Firefox problematisch. Keine so gute Featureidee von denen wie ich finde die zukünftig vermutlich die Rate von Leuten, die auf Phishing hereinfallen, noch einmal erhöhen und nicht senken wird....
Wer übrigens wie ich von der Meldung auch genervt ist:
Kopiert das in die Adressleiste von Firefox:
about:config?filter=security.insecure_field_warning.contextual.enabled
(gibts nur ab Firefox 52)
bestätigt ggf. die Meldung das man weiß was man tut.
Und setzt das Feld von "true" auf "false". Nach dem Browser Neustart kommt dann nur noch diese Adressleiste und nicht diese unsinnigen Popups.
LG,
Chris