1&1 Shop - SEKUND
Hauptmenü:
TOP Angebote
1&1 Shop
 |
Inhaltsübersicht Seite
Direkt-Links
XSS Warnungen auf 1&1 Webseiten
Vor Langem wiesen wir unter anderem auf mögliches XSS (Cross Site Scripting) bei 1&1 von United Internet sowie die festgestellten Programmierfehler im Zusammenhang mit der WEB-Sicherheit hin. Fortführende Prüfungen zu weiteren Seiten von 1&1 dauern weiterhin an.
Es ist primär nicht unsere Aufgabe die Seiten von 1&1 auf ihre Sicherheit zu überprüfen. Wir sind jedoch Verfechter für die WEB-Sicherheit und lassen solche schmutzigen Verlinkungen bei uns nicht zu. Deshalb nehmen wir in Abständen weitere Überprüfungen der Seiten von 1&1 für Ihre Besucher-Sicherheit vor
1&1 scheint in Anbetracht der zwischenzeitlich verstrichenen Zeit (siehe hierzu nachfolgende Ausführungen) nicht willens die WEB-Sicherheit zu Ihren Gunsten als Interessent zu erhöhen. Die Ergebnisse können Sie der nachfolgenden Tabelle entnehmen. Es bleiben nicht viele saubere Angebot-Seiten übrig.
Gegenwärtig leider nur eine Einzige. Dies wohl auch nur deshalb, da selbige ausserhalb und wohl noch bei Strato für 1&1 programmiert wurde. Strato gehört zwischenzeitlich ebenso wie 1&1 zu United Internet.
Wir empfehlen übrigens in diesem Zusammenhang und in Hinblick auf WEB-Hosting-Pakete bei 1&1 ausdrücklich auf die Strato-Pakete anzusprechen. Sie können sich auch gerne direkt an Strato wenden. Siehe Footer (Fusszeile). ;o))
Hinweis an Smartphone Nutzer:
Diese Tabelle ist switch slide fähig. ;o))
DSL zum Vorteilspreis oder SHARP FULL-HD LED Button - Verfügbarkeitsprüfung | XSS | https://profiseller.de/shop/dsl.html?ps_id=P00000000 |
1&1 DSL Button - Verfügbarkeitsprüfung | XSS | https://profiseller.de/shop/dsl.html?ps_id=P00000000&ac=OM.PS.PS140K407238T7073a |
| Handy-Flat für Festnetz und Internet Button - Zu den Tarifen Button - Verfügbarkeitsprüfung | CLEAN CLEAN XSS | https://dsl.1und1.de/mobile-dsl-flat?ps_id=P00000000#surfen https://dsl.1und1.de/#tarif https://dsl.1und1.de/dsl-verfuegbarkeit?__dtmsrc=adobe&funnel=basic&term=mvl&linkId=tarifftable-vcheck-cta&bundle=tariff-dsl-basic-bundle-ensure-mcd&tariff=tariff-dsl-basic&previousUrl=https://dsl.1und1.de/#tarif |
1&1 Digital-TV Paket | XSS | Nicht mehr sauber. Siehe ff.: Fernsehen mit Digital-TV und grosser Programmvielfalt |
HUAWEI P 20 Button - Auswählen | XSS | https://mobile.1und1.de/optionen / (intern als Zusatzoptionen bezeichnet) |
1&1 HOSTING WELT | CLEAN | |
LTE All Net Flat Button - ohne Handy weiter Button - zur Handy Auswahl | XSS XSS XSS | https://profiseller.de/shop/all-net-flat.html?ps_id=P00000000 dito dito |
1&1 All-Net-Flat Sommer Special | XSS | https://profiseller.de/shop/all-net-flat.html?ps_id=P00000000&ac=OM.PS.PS140K407238T7073a |
Notebook FLAT Button - Auswählen | XSS XSS | https://profiseller.de/shop/notebook-flat.html?ps_id=P00000000&ac=OM.PS.PS140K407238T7073a dito |
Tablet FLAT Button - ohne Tablet weiter Button - zur Tablet Auswahl | XSS XSS XSS | https://profiseller.de/shop/tablet-flat.html?ps_id=P00000000&ac=OM.PS.PS140K407238T7073a dito dito |
Smartphone Bestenliste | XSS | https://mobile.1und1.de/smartphones |
Samsung Galaxy S 9 Button - Auswählen | XSS | https://mobile.1und1.de/optionen / (intern als Zusatzoptionen bezeichnet) |
Apple iPad mit Vertrag Button - Auswählen | XSS XSS | https://mobile.1und1.de/ipad-9-7?ps_id=P00000000#highlights https://mobile.1und1.de/Kosten |
Produktübersicht | XSS | https://profiseller.de/shop/mein-shop.html?ps_id=P00000000&ac=OM.PS.PS140K407238T7073a |
TREKSTOR Primebook C13 | XSS | https://mobile.1und1.de/trekstor-primebook-c13?ps_id=P00000000#highlights |
Startseite | XSS | https://www.1und1.de/ |
| 1&1 My Website | XSS | https://profiseller.de/shop/mywebsite.html?ps_id=P00000000 |
Apple iPhone Xs Button - Auswählen | CLEAN XSS | https://profiseller.de/shop-angebote/iphone-xs.html?ps_id=P00000000 dito |
1&1 Server Virtual, Cloud, Dedicated | XSS | https://profiseller.de/shop/virtual-server-cloud.html?ps_id=P00000000 <<< Na hierzu fällt uns ja garnichts mehr ein. Sehr mutig von 1&1 ... ;oP |
1&1 DSL Young Button - Verfügbarkeitsprüfung | CLEAN XSS | https://profiseller.de/shop/dsl-young.html?ps_id=P00000000 dito |
Apple Tablet iPad Pro 10.5 / iPad mini 4 Button - Mehr erfahren | CLEAN XSS | https://profiseller.de/shop-angebote/apple-tablet.html?ps_id=P00000000 dito |
| Fernsehen mit Digital-TV und grosser Programmvielfalt | XSS | https://dsl.1und1.de/fernsehen?ps_id=P00000000#subStage |
Huawei Mate 20 in der All-Net-Flat Button - Auswählen | CLEAN XSS | https://profiseller.de/shop-angebote/huawei-mate20.html?ps_id=P00000000 dito |
Huawei Mate 20 Pro in der All-Net-Flat Button - Auswählen | CLEAN XSS | https://profiseller.de/shop-angebote/huawei-mate20-pro.html?ps_id=P00000000 dito |
Im Übrigen sollten Sie wissen, wenn Sie sowas 
vor der Adresszeile Ihres Browsers sehen wissen Sie, dass es sich um keine SSL-verschlüsselte Seite handelt und Ihre Websicherheit gefährdet sein kann. Je nach Absicht des jeweiligen Betreibers. ;o)) Es gibt natürlich noch eine weitere Variante an der man solche Seiten erkennt.
vor der Adresszeile Ihres Browsers sehen wissen Sie, dass es sich um keine SSL-verschlüsselte Seite handelt und Ihre Websicherheit gefährdet sein kann. Je nach Absicht des jeweiligen Betreibers. ;o)) Es gibt natürlich noch eine weitere Variante an der man solche Seiten erkennt.Fortsetzung in Tabelle folgt ... Wir wünschen Ihnen eine sichere Zeit! :o)) - Team SEKUND
Folgende grundlegenden Programmierfehler wurden generell zu 'https://www.1und1.de/' analysiert:
Stand: 23.08.2018 | Status: unverändert - 25.10.2018 08:42 Uhr (Leak-Fehler aus Prüfung vom 26.09.2018 wurden behoben)
Content Security Policy Inaktiv
Die Content-Security-Policy ist eine strukturierte Vorgehensweise, welches das Injizieren und Ausführen von evtl. bösartigen Befehlen in einer Webanwendung (Injection-Angriffe) mildern soll. Es stellt über eine Whitelist dar, von welchen Quellen z.B. Javascript, Bilder, Schriftarten und andere Inhalte auf Ihrer Seite eingebunden werden dürfen.
HSTS Schutz Fehler
Strict-Transport-Security (HSTS) stellt sicher, dass die Webseite für eine bestimmte Zeit lediglich über HTTPS gesicherte Verbindung aufgerufen werden kann. Der Webseitenbetreiber kann diesbezüglich u.a. definieren, wie lange das Zeitinterval ist und ob diese Regelung auch für Subdomains gelten soll.
X-Content-Type Header fehlt
Die X-Content-Type-Options Einstellungen im Header verhindern, dass der Browser Dateien als etwas anderes interpretiert, als vom Inhaltstyp im HTTP-Header deklariert wurde. Die Headereinstellungen sind hier nicht gesetzt.
HTTP-Header X-Frame Optionen nicht gesetzt
X-Frame-Options hilft dabei Angriffe über Framing-Mechanismen zu unterbinden. Dies gewährleistet bspw., dass Clickjacking-Angriffe grösstenteils gemildert werden können. Darüber hinaus werden Downgrading-Angriffe wie etwa im Internet Explorer minimiert.
Cross-Site-Scripting Schutz nicht aktiviert oder unzureichend konfiguriert
Der HTTP-Header X-XSS-Protection definiert wie in Browser eingebaute XSS-Filter konfiguriert werden. Eine Default-Installation kann eine unzureichende Konfiguration offenbaren.
---
Aus gegebenem Anlass haben wir nun die für unsere Begriffe von WEB-Sicherheit nicht sicher programmierten Angebote von 1&1 hier herausgenommen und nur die tatsächlich sauberen Angebote stehen lassen. Ein Änderungsbestreben seitens 1&1 scheint wohl nun nach gut über einem Jahr endlich angegangen zu werden insoweit, als uns heute (27.08.2018 um 15:01 Uhr) fernmündlich Besserung zu den betroffenen Seiten / Angeboten mitgeteilt wurde. Bedauerlich, dass sich bis Heute (10.10.2018) immer noch nichts getan sondern eher noch verschlechtert hat.
Sobald sich die sicherheitsrelevante Programmierung der einzelnen Angebote wie auch generell zu 1&1 abzeichnet, werden wir zu den sauberen Angeboten fortführend hier auch wiedereinstellen. Nach Kenntnisgabe will man uns auf dem Laufenden halten. Das freut uns selbstverständlich. Auch diesbezüglich tat sich bis Heute (10.10.2018) garnichts. Zu den sicherheitsrelevant schlecht programmierten Angeboten werden wir auf dem Laufenden gehalten.
Uns ist Ihre Sicherheit wichtig. Falls Sie individuell ein Angebot aus dem Hause 1&1 interessieren sollte, bleibt Ihnen immer noch der sichere Weg über uns Kontakt aufzunehmen.
Letztes verbleibende noch 'sauber' programmierte Angebot:
1&1 Shop Partner seit 07.01.2010
Sie möchten individuell Ihrer Bedürfnisse beraten und unterstützt werden?
Sie haben Fragen? Nehmen Sie zu uns Verbindung auf.
* Weitere Hinweise und Informationen siehe verlinkte Seiten
