Eine E-Mail an GMX – Sicherheit nicht vorhanden

Eine E-Mail an GMX (warum ich noch dort bin weiß ich sowieso nicht …). Denkt daran: Das gilt für jeden der GMX verwendet.

Sehr geehrtes GMX Team,

wann planen Sie denn endlich mal komplett auf HTTPS zu wechseln, für FreeMail?

Es ist ja wohl ein schlechter Witz, dass das Login Formular auf der Hauptseite die Option ohne SSL bietet, wer sollte das wollen?

Und das „Direkt in den Spamverdacht-Ordner Ihres GMX Accounts“ Formular (http://service.gmx.net/de/cgi/login?EXT=spamverdacht) eben NICHT an HTTPS geht sondern unverschlüsselt übertragen wird.

Ist man dann eingeloggt hat das Cookie mit der Sitzungs-ID nicht einmal das Security-Flag gesetzt, so dass in einem offenen WLAN jeder! sich in diese Sitzung einhängen kann und vollen Zugriff auf den Account hat.

Außerdem kann jeder mitlesen was gerade im E-Mail Konto gesendet wird.

Selbst wenn ich mich über HTTPS einlogge und alle folgenden HTTP Aufrufe unterbinde und durch solche über HTTPS ersetze ist das Cookie nicht markiert.

Mit Ihrem HTTPS Login suggerieren Sie Sicherheit nur.

Seit Jahren weigern Sie sich sichere Aufrufe, Sitzungen und Logins an zu bieten. Wann ändern Sie dies endlich?

Ich bitte Sie dringlichst zeitnah eine nur-HTTPS Übertragung und Verlinkung für die Web-Mail Funktionen umzusetzen.

Mit freundlichen Grüßen

xyz

Web.de ist nicht besser. Ist es doch. Secure Cookie und HTTPS Verlinkungen innerhalb. Warum man trotzdem noch „ohne SSL“-Logins anbietet … Keine Ahnung.

Googlemail dagegen schon. Die sind vor geraumer Zeit auf nur-HTTPS umgestiegen und bieten außerdem noch vollständiges IMAP.

Update:

Die Antwort:

Sehr geehrte Damen und Herren,

E-Mails an diese Adresse werden nicht gelesen, Kündigungen und Vertragsänderungen haben daher keine Rechtsgültigkeit.

Bitte wenden Sie sich mit Ihrem Anliegen erneut an den zuständigen Ansprechpartner.

[…]

Uber-Fail …