HTTP-Auth Phishing mit Opera

Da ich den Hersteller des Browsers, den das zweite Problem betrifft, noch nicht informiert habe, erwähne ich heute nur eins der beiden unschönen Dinge: HTTP-Auth Phishing mit Opera.

Wenn der Domainname (z.B. durch den Einsatz von Subdomains) ausreichend lang gewählt wurde, dann schneidet Opera den Domainnamen in der Anzeige des HTTP-Auth Login-Dialogs ab. Wenn man die Länge (34 Zeichen) passend wählt, so folgen der gefakten TLD nur noch drei Punkte. Sprich: ...

Eigentlich sollte man stutzig werden, wenn man ... am Ende einer TLD sieht, da dies nicht gültig ist und im normalen Schriftverkehr andeutet, dass es hier noch weitergeht. Dies kann aber unter Umständen von einem Benutzer übersehen werden, was sich selbst die Mitarbeiter bei Opera Software ASA eingestehen.

Da Opera (zumindest in Version 9.21) standardmässig keine Statusleiste anzeigt und diese aber selbst nach manueller Einblendung nicht mit Informationen zur Domain füllt, kann man nicht auf einen Blick an mehr Informationen gelangen.
Es hilft also nur, die Authentifizierung dann abzubrechen und den Link, der einen zum mit htaccess abgesicherten Bereich eines Webservers geschickt hat, nun selbst erst zu überprüfen und danach gegebenenfalls fortzusetzen.

Lustig wird dies dann, wenn man diesen Phishzug mit XSA kombiniert. Wenn Opera ein Bild aus dem abgesicherten Bereich laden soll, so erfolgt dies natürlich ohne das Zutun des Benutzers - ganz im Gegensatz also zum Anklicken des Links, welcher zum abgesicherten Bereich führt, aus der vorhergehenden Situation.

Eine Abhilfe von Herstellerseite her ist bis jetzt noch nicht zu sehen, da sie selber keine Lösung (ja, das fand ich auch etwas seltsam ...) dafür haben und meine Vorschläge nicht gut fanden. Vielleicht fällt mir aber auch noch eine tolle Lösung ein, die die Entwickler von Opera auch prima finden.