Online-Shop schreib "SSL-Verschlüsselt", mein Browser ist anderer Meinung

Olunixus · 1. März 2017

Ich hab hier einen Online-Shop gefunden: http://www.aurednik.de/online-shop
Wenn ich da auf "Warenkorb" klicke und dann "Bestellung vorbereiten" drücke komme ich direkt zur Eingabemaske für die Rechnungs-/Versanddaten und u.a. auch Zahlungsdetails wie Kreditkarte/Bankdaten etc...
Da steht dick und fett drüber das meine Daten via SSL verschlüsselt werden, mein Browser sagt mir das aber nirgends - im Chrome & Firefox steht sogar explizit drin, dass die Verbindung zur Website "nicht sicher" ist, wenn ich in der Adressleiste mir die Info anzeigen lasse. Verarschen die einen hier/haben keine Ahnung wie man SSL korrekt implementiert, oder werden meine Daten im Moment des Abschickens doch verschlüsselt und weder FF noch Chrome kriegen das mit?!

Danke
Olunixus

trekkerfahrer89 · 1. März 2017

Nagut, da steht auch noch das der Onlineshop in der Testphase ist.

Da kann so was schon sein.

Am besten du rufst da an.

mfg

Jesterfox · 1. März 2017

Olunixus schrieb:
oder werden meine Daten im Moment des Abschickens doch verschlüsselt und weder FF noch Chrome kriegen das mit?!

Das wäre möglich und war früher auch üblich (also das nur das Ziel des Eingabeformulars verschlüsselt war, die Seite mit der Form selbst aber nicht). Mittlerweile sollte man das aber eigentlich nicht mehr machen und auch schon die Eingabeseite selbst verschlüsselt ausliefern, als Schutz gegen Manipulationen an der Eingabemaske selbst.

Edit: ja, der Absende-Button führt tatsächlich auch eine HTTPS Seite, wäre also verschlüsselt. Aber wie gesagt sollte man das mittlerweile so nicht mehr machen und besser alles verschlüsseln. Denn es gibt mittlerweile genügend Angriffsszenarien um das Formular ansonsten zu manipulieren (und z.B. das Ziel auf eine andere fremde Seite umzuleiten)

Olunixus · 1. März 2017

Jesterfox schrieb:
[...]Edit: ja, der Absende-Button führt tatsächlich auch eine HTTPS Seite, wäre also verschlüsselt. [...]

Wie kommst du darauf? Wenn ich mir den Seitenquelltext ansehe kann ich auch keine Einträge aus der Eingabemaske erkennen - wie ist das realisiert?

0x8100 · 1. März 2017

bei mir ist da nichts verschlüsselt, die seite nutzt http und das ziel des formulars ist ein relativer link, also auch http:

SonyXP · 1. März 2017

Chrome zeigt hier (via "Element untersuchen") einen verschlüsselten Link auf ein Webshop-Modul.

WilliTheSmith · 1. März 2017

Sieh dir den Button an:

HTML:

<input class="button" type="button" value="Bestellung vorbereiten" onclick="location.href='https://www.aurednik.de/cgi-bin/his-webshop.pl?t=temorder_ssl'">

Man wird auf die HTTPS-Seite weitergeleitet. Somit sind auch alle relativen Links nach einem Klick auf den Button HTTPS-geschützt. Ein "Test-Klick" zeigt dieses Verhalten auch im Network-Monitor.

0x8100 · 1. März 2017

tatsächlich, stimmt. trotzdem nicht ordentlich umgesetzt, denn es setzt voraus, dass man über "bestellung vorbereiten" zum bestellformular gelangt. ruft man, warum auch immer, http://www.aurednik.de/cgi-bin/his-webshop.pl?t=temorder_ssl auf, so bestellt man evtl. doch ungesichert.

Hauro · 1. März 2017

Wenn der Warenkorb gefüllt ist, 'https://www.aurednik.de/cgi-bin/his-webshop.pl' in der Adresszeile eingeben, dann wird eine sichere Verbindung aufgebaut.

Habe jetzt nicht ausprobiert, ob sich der Bestellvorgang abschließen lässt.

Es ist in jedem Fall unverständlich warum nicht alle Seiten verschlüsselt übertragen werden, da das Domain-validated (DV) Zertifikat für die Domain 'CN = www.aurednik.de' ausgestellt ist.

Siehe auch:
https://www.ssllabs.com/ssltest/analyze.html?d=www.aurednik.de

Suche

Online-Shop schreib "SSL-Verschlüsselt", mein Browser ist anderer Meinung

Olunixus

Commodore

trekkerfahrer89

Lieutenant

Jesterfox

Legende

Olunixus

Commodore

0x8100

Admiral

SonyXP

Lt. Commander

WilliTheSmith

Lt. Commander

0x8100

Admiral

Hauro

Fleet Admiral