Firefox Warnung bei Download über http

Beiträge speziell zur myebilanz-Software
Antworten
t-b
Beiträge: 2
Registriert: So Okt 25, 2020 1:53 pm

Firefox Warnung bei Download über http

Beitrag von t-b »

Beim runterladen der neuesten myebilanz Version hat mich Firefox gewarnt, dass der Download über eine unverschlüsselte Verbindung läuft.
URL: http://ohne.org/Hanft/setup-myebilanz-1.6.0.2.exe

Diese Warnung scheint seit Version 93 [1] drin zu sein.

Es wäre schön wenn auch der Download über https liefe.

[1]: https://blog.mozilla.org/security/2021/ ... downloads/
mhanft
Site Admin
Beiträge: 643
Registriert: Sa Apr 12, 2014 12:52 pm
Kontaktdaten:

Re: Firefox Warnung bei Download über http

Beitrag von mhanft »

Hallo, dieses Problem ist mir durchaus bewusst, allerdings kann ich es nicht ändern - aber es macht auch nichts (außer dieser Firefox-Warnung), und man kann es einfach umgehen.

Zur näheren Erläuterung muss ich etwas ausholen:
  • Dieser Download-Link führt auf einen Massenhoster, auf dem ich den bisschen Speicherplatz für das Programm habe - und insbesondere keine Traffic-Kosten (also pro übertragenem Gigabyte) zahlen muss, d.h. ich gehe nicht pleite, wenn eine Million Leute (oder Bots) das Programm herunterladen.
  • Man kann den Download-Link durchaus auch mit https:// aufrufen, was eine gesicherte Übertragung ermöglicht; allerdings bekommt man dann eine andere Warnung (nämlich dass das TLS-Zertifikat nicht zum Hostnamen passt, weil es nur auf den Massenhoster ausgestellt ist). Ist also auch nicht viel besser...
  • Der "ungesicherte" Download macht aber nichts, weil das Programm signiert ist (sogar mit einem "Extended Validation" CodeSign-Zertifikat von GlobalSign), so dass es egal ist, ob es gesichert oder ungesichert heruntergeladen wurde - und sogar, wenn man es zufällig auf einem Spiegelserver in China findet und von dort herunterlädt (und die Signatur stimmt), ist das absolut sicher, solange bei der Installation bei "Verifizierter Herausgeber" mein Name drinsteht:
    Bild
  • Wenn Firefox & Co. tatsächlich auf einem https://-Download besteht, kann man auf der Downloadseite einfach Server 2 oder Server 3 auswählen:
    Download von 3 Servern
    Download von 3 Servern
    myebilanz2880.png (10.87 KiB) 855 mal betrachtet
    Dort ist eine https://-Übertragung möglich (ist aber langsamer und für mich technisch und finanziell ungünstiger, so dass ich zunächst Server 1 anbiete).
Ganz glücklich bin ich mit dem aktuellen Zustand auch nicht, und langfristig überlege ich mir vermutlich auch noch eine andere/bessere Lösung, aber aktuell werden wir damit leben müssen...
Antworten