"Passwort ändern"-Seite von eBay wird nicht dargestellt

[MarkusH]

Hallo SRWare Team,

mit der Version 137.0.6950.0 (Offizieller Build) (64-Bit) von Iron habe ich aktuell das Problem, dass mir in meinem eBay Account die Seite zum Ändern des Passworts nicht korrekt angezeigt wird.

Folgender Workflow (sowie ein eBay Account) ist zur Reproduktion nötig:

- In eBay einloggen
- Oben links den Mauszeiger über den eigenen eBay-Namen halten - Menü klappt auf -> "Kontoeinstellungen" anklicken
- Links in der Navigationsliste auf "Sicher einloggen" klicken
- In der Liste in der Mitte im Bereich "Passwort: Erstellen Sie ein Passwort oder ändern Sie Ihr vorhandenes Passwort." auf den rechten Link "Bearbeiten" klicken.

-> Man landet dann nicht auf der Seite, um sein Passwort zu ändern, sondern auf eine Seite, die der vorherigen ähnelt und bei der alle Links auf der rechten Seite deaktiviert sind.

(Hinweis: Eine Gegenprobe mit Chrome hat gezeigt, dass es doch die richtige Seite ist, aber Iron das Panel mit den Eingabefeldern des alten/neuen Passworte nicht anzeigt)

In den Developer Tools / Konsole von Iron sehe ich dabei folgendes:

Code: Select all

index_lcNW.8a00afad.js:1 Header: trk missing
(anonym)	@	index_lcNW.8a00afad.js:1
d	@	index_lcNW.8a00afad.js:1
(anonym)	@	index_lcNW.8a00afad.js:1
_	@	index_lcNW.8a00afad.js:1
p	@	index_lcNW.8a00afad.js:1
onLoad	@	index_lcNW.8a00afad.js:1
index_lcNW.8a00afad.js:1 Header: trk missing
(anonym)	@	index_lcNW.8a00afad.js:1
d	@	index_lcNW.8a00afad.js:1
_	@	index_lcNW.8a00afad.js:1
p	@	index_lcNW.8a00afad.js:1
onLoad	@	index_lcNW.8a00afad.js:1
index_lcNW.8a00afad.js:1 Header: trk missing
(anonym)	@	index_lcNW.8a00afad.js:1
d	@	index_lcNW.8a00afad.js:1
$	@	index_lcNW.8a00afad.js:1
handleOnLoad	@	index_lcNW.8a00afad.js:1

Im Netzwerk-Tab sehe ich zwei identische Aufrufe. Der erste bekommt keinen Response, der zweite bekommt einen Response und wird mit OK beendet (siehe Screenshot).

srware01.jpg

Da ich an dieser Stelle Thematisch komplett aussteige, habe ich GPT-5 zu Rate gezogen, bin mir aber nicht sicher wie viel Halluzination in seinen Analysen steckt.

GPT-5 sagt:

Was Iron aktuell anders macht

Referrer-Stripping
Ab Chromium 85 gibt es standardmäßig ein „Referrer Policy: strict-origin-when-cross-origin“.
Chrome zeigt das als Flag, Iron hat es fest verdrahtet (noch restriktiver).
Ergebnis: eBay sieht nicht den vollständigen Referrer und liefert keinen trk-Header → Passwortmaske fehlt.

Integrierte Filterlisten
Iron kompiliert eigene Blocklisten direkt ins Binary, ohne GUI.
Bestimmte CDN-Aufrufe (wie ir.ebaystatic.com) werden dadurch anders behandelt.
Deshalb funktioniert es in Chrome sofort, in Iron nicht.

Könnt ihr das Problem nachvollziehen und ggf. lösen? Ich würde deswegen ungern einen anderen Browser installieren.

[MarkusH]

Ich habe die Ursache gefunden.

Da Iron nicht den Standard Chrome UserAgent an die Webseite sendet, sondern auch den String "Iron" im UA stehen hat, funktioniert WhatsApp Web damit nicht. WhatsApp Web meckert bei Aufruf mit dem Iron Browser, dass es sich um einen veralteten Chrome Browser handeln würde und verweigert seinen Dienst. Erst, wenn man (z.B. per Kommandozeilenparameter) den originalen Chrome UserAgent einstellt, funktioniert WhatsApp Web wieder korrekt. Das hatte ich seinerzeit genau so eingerichtet.

UA Iron: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/137.0.0.0 Iron Safari/537.36
UA Chrome: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/137.0.0.0 Safari/537.36

Offenbar bekommt eBays Passwort-Dialog irgendwie mit, dass der (von mir überschriebene) UserAgent nicht der originale Useragent des Iron Browsers ist und lädt die gesamte Passwortmaske nicht nach - zumindest kann ich es mir nur so erklären.

Entferne ich die UserAgent-Überschreibung, dann funktioniert es mit eBay wieder (allerdings dann nicht mehr in WhatsApp).

Als Notlösung habe ich mir eine zweite Verknüpfung für den Iron erstellt, die den Browser ohne UserAgent-Überschreibung startet.