1&1 Shop - SEKUND

Direkt zum Seiteninhalt

Hauptmenü:

TOP Angebote
1&1 Shop




Inhaltsübersicht Seite
Direkt-Links


XSS Warnungen auf 1&1 Webseiten

Vor Langem wiesen wir unter anderem auf mögliches XSS (Cross Site Scripting) bei 1&1 von United Internet sowie die festgestellten Programmierfehler im Zusammenhang mit der WEB-Sicherheit hin. Fortführende Prüfungen zu weiteren Seiten von 1&1 dauern weiterhin an.

Es ist primär nicht unsere Aufgabe die Seiten von 1&1 auf ihre Sicherheit zu überprüfen. Wir sind jedoch Verfechter für die WEB-Sicherheit und lassen solche schmutzigen Verlinkungen bei uns nicht zu. Deshalb nehmen wir in Abständen weitere Überprüfungen der Seiten von 1&1 für Ihre Besucher-Sicherheit vor

1&1 scheint in Anbetracht der zwischenzeitlich verstrichenen Zeit (siehe hierzu nachfolgende Ausführungen) nicht willens die WEB-Sicherheit zu Ihren Gunsten als Interessent zu erhöhen. Die Ergebnisse können Sie der nachfolgenden Tabelle entnehmen. Es bleiben nicht viele saubere Angebot-Seiten übrig.

Gegenwärtig leider nur eine Einzige. Dies wohl auch nur deshalb, da selbige ausserhalb und wohl noch bei Strato für 1&1 programmiert wurde. Strato gehört zwischenzeitlich ebenso wie 1&1 zu United Internet.

Wir empfehlen übrigens in diesem Zusammenhang und in Hinblick auf WEB-Hosting-Pakete bei 1&1 ausdrücklich auf die Strato-Pakete anzusprechen. Sie können sich auch gerne direkt an Strato wenden. Siehe Footer (Fusszeile). ;o))
Hinweis an Smartphone Nutzer:
Diese Tabelle ist switch slide fähig. ;o))
DSL zum Vorteilspreis oder SHARP FULL-HD LED
Button - Verfügbarkeitsprüfung


XSS


https://profiseller.de/shop/dsl.html?ps_id=P00000000
1&1 DSL
Button - Verfügbarkeitsprüfung
XSS
https://profiseller.de/shop/dsl.html?ps_id=P00000000&ac=OM.PS.PS140K407238T7073a
Handy-Flat für Festnetz und Internet
Button - Zu den Tarifen

Button - Verfügbarkeitsprüfung

CLEAN
CLEAN

XSS

https://dsl.1und1.de/mobile-dsl-flat?ps_id=P00000000#surfen
https://dsl.1und1.de/#tarif

https://dsl.1und1.de/dsl-verfuegbarkeit?__dtmsrc=adobe&funnel=basic&term=mvl&linkId=tarifftable-vcheck-cta&bundle=tariff-dsl-basic-bundle-ensure-mcd&tariff=tariff-dsl-basic&previousUrl=https://dsl.1und1.de/#tarif
1&1 Digital-TV Paket
XSS
Nicht mehr sauber. Siehe ff.: Fernsehen mit Digital-TV und grosser Programmvielfalt
HUAWEI P 20
Button - Auswählen

XSS

https://mobile.1und1.de/optionen / (intern als Zusatzoptionen bezeichnet)
1&1 HOSTING WELT
CLEAN

LTE All Net Flat
Button - ohne Handy weiter
Button - zur Handy Auswahl
XSS
XSS
XSS
https://profiseller.de/shop/all-net-flat.html?ps_id=P00000000
dito
dito
1&1 All-Net-Flat
Sommer Special
XSS
https://profiseller.de/shop/all-net-flat.html?ps_id=P00000000&ac=OM.PS.PS140K407238T7073a
Notebook FLAT

Button - Auswählen
XSS

XSS
https://profiseller.de/shop/notebook-flat.html?ps_id=P00000000&ac=OM.PS.PS140K407238T7073a
dito
Tablet FLAT

Button - ohne Tablet weiter
Button - zur Tablet Auswahl
XSS

XSS
XSS
https://profiseller.de/shop/tablet-flat.html?ps_id=P00000000&ac=OM.PS.PS140K407238T7073a
dito
dito
Smartphone Bestenliste
XSS
https://mobile.1und1.de/smartphones
Samsung Galaxy S 9
Button - Auswählen

XSS

https://mobile.1und1.de/optionen / (intern als Zusatzoptionen bezeichnet)
Apple iPad mit Vertrag
Button - Auswählen
XSS
XSS
https://mobile.1und1.de/ipad-9-7?ps_id=P00000000#highlights
https://mobile.1und1.de/Kosten
Produktübersicht
XSS
https://profiseller.de/shop/mein-shop.html?ps_id=P00000000&ac=OM.PS.PS140K407238T7073a
TREKSTOR Primebook C13
XSS
https://mobile.1und1.de/trekstor-primebook-c13?ps_id=P00000000#highlights
Startseite
XSS
https://www.1und1.de/
1&1 My Website
XSS
https://profiseller.de/shop/mywebsite.html?ps_id=P00000000
Apple iPhone Xs
Button - Auswählen
CLEAN
XSS
https://profiseller.de/shop-angebote/iphone-xs.html?ps_id=P00000000
dito
1&1 Server
Virtual, Cloud, Dedicated
XSS
https://profiseller.de/shop/virtual-server-cloud.html?ps_id=P00000000
<<<  Na hierzu fällt uns ja garnichts mehr ein. Sehr mutig von 1&1 ...   ;oP
1&1 DSL Young
Button - Verfügbarkeitsprüfung
CLEAN
XSS
https://profiseller.de/shop/dsl-young.html?ps_id=P00000000
dito
Apple Tablet
iPad Pro 10.5 / iPad mini 4
Button - Mehr erfahren
CLEAN

XSS
https://profiseller.de/shop-angebote/apple-tablet.html?ps_id=P00000000

dito
Fernsehen mit Digital-TV
und grosser Programmvielfalt
XSS
https://dsl.1und1.de/fernsehen?ps_id=P00000000#subStage
Huawei Mate 20
in der All-Net-Flat
Button - Auswählen

CLEAN
XSS
https://profiseller.de/shop-angebote/huawei-mate20.html?ps_id=P00000000
dito
Huawei Mate 20 Pro
in der All-Net-Flat
Button - Auswählen

CLEAN
XSS
https://profiseller.de/shop-angebote/huawei-mate20-pro.html?ps_id=P00000000
dito
Im Übrigen sollten Sie wissen, wenn Sie sowas vor der Adresszeile Ihres Browsers sehen wissen Sie, dass es sich um keine SSL-verschlüsselte Seite handelt und Ihre Websicherheit gefährdet sein kann. Je nach Absicht des jeweiligen Betreibers. ;o)) Es gibt natürlich noch eine weitere Variante an der man solche Seiten erkennt.

Fortsetzung in Tabelle folgt ... Wir wünschen Ihnen eine sichere Zeit! :o)) - Team SEKUND


Folgende grundlegenden Programmierfehler wurden generell zu 'https://www.1und1.de/' analysiert:
Stand: 23.08.2018  | Status: unverändert  -  25.10.2018  08:42 Uhr (Leak-Fehler aus Prüfung vom 26.09.2018 wurden behoben)

Content Security Policy Inaktiv
Die Content-Security-Policy ist eine strukturierte Vorgehensweise, welches das Injizieren und Ausführen von evtl. bösartigen Befehlen in einer Webanwendung (Injection-Angriffe) mildern soll. Es stellt über eine Whitelist dar, von welchen Quellen z.B. Javascript, Bilder, Schriftarten und andere Inhalte auf Ihrer Seite eingebunden werden dürfen.

HSTS Schutz Fehler
Strict-Transport-Security (HSTS) stellt sicher, dass die Webseite für eine bestimmte Zeit lediglich über HTTPS gesicherte Verbindung aufgerufen werden kann. Der Webseitenbetreiber kann diesbezüglich u.a. definieren, wie lange das Zeitinterval ist und ob diese Regelung auch für Subdomains gelten soll.

X-Content-Type Header fehlt
Die X-Content-Type-Options Einstellungen im Header verhindern, dass der Browser Dateien als etwas anderes interpretiert, als vom Inhaltstyp im HTTP-Header deklariert wurde. Die Headereinstellungen sind hier nicht gesetzt.

HTTP-Header X-Frame Optionen nicht gesetzt
X-Frame-Options hilft dabei Angriffe über Framing-Mechanismen zu unterbinden. Dies gewährleistet bspw., dass Clickjacking-Angriffe grösstenteils gemildert werden können. Darüber hinaus werden Downgrading-Angriffe wie etwa im Internet Explorer minimiert.

Cross-Site-Scripting Schutz nicht aktiviert oder unzureichend konfiguriert
Der HTTP-Header X-XSS-Protection definiert wie in Browser eingebaute XSS-Filter konfiguriert werden. Eine Default-Installation kann eine unzureichende Konfiguration offenbaren.
---

Aus gegebenem Anlass haben wir nun die für unsere Begriffe von WEB-Sicherheit nicht sicher programmierten Angebote von 1&1 hier herausgenommen und nur die tatsächlich sauberen Angebote stehen lassen. Ein Änderungsbestreben seitens 1&1 scheint wohl nun nach gut über einem Jahr endlich angegangen zu werden insoweit, als uns heute (27.08.2018 um 15:01 Uhr) fernmündlich Besserung zu den betroffenen Seiten / Angeboten mitgeteilt wurde. Bedauerlich, dass sich bis Heute (10.10.2018) immer noch nichts getan sondern eher noch verschlechtert hat.

Sobald sich die sicherheitsrelevante Programmierung der einzelnen Angebote wie auch generell zu 1&1 abzeichnet, werden wir zu den sauberen Angeboten fortführend hier auch wiedereinstellen. Nach Kenntnisgabe will man uns auf dem Laufenden halten. Das freut uns selbstverständlich. Auch diesbezüglich tat sich bis Heute (10.10.2018) garnichts. Zu den sicherheitsrelevant schlecht programmierten Angeboten werden wir auf dem Laufenden gehalten.

Uns ist Ihre Sicherheit wichtig. Falls Sie individuell ein Angebot aus dem Hause 1&1 interessieren sollte, bleibt Ihnen immer noch der sichere Weg über uns Kontakt aufzunehmen.

Letztes verbleibende noch 'sauber' programmierte Angebot:

1&1 Shop SEKUND eu Potsdam Fahrland

1&1 Shop Partner seit 07.01.2010
Sie möchten individuell Ihrer Bedürfnisse beraten und unterstützt werden?
Sie haben Fragen? Nehmen Sie zu uns Verbindung auf.
* Weitere Hinweise und Informationen siehe verlinkte Seiten

 
© 2014-2018 SEKUND
Zurück zum Seiteninhalt | Zurück zum Hauptmenü