Online-Shop schreib "SSL-Verschlüsselt", mein Browser ist anderer Meinung

Olunixus

Commodore
Dabei seit
Dez. 2009
Beiträge
4.558
​Ich hab hier einen Online-Shop gefunden: http://www.aurednik.de/online-shop
Wenn ich da auf "Warenkorb" klicke und dann "Bestellung vorbereiten" drücke komme ich direkt zur Eingabemaske für die Rechnungs-/Versanddaten und u.a. auch Zahlungsdetails wie Kreditkarte/Bankdaten etc...
Da steht dick und fett drüber das meine Daten via SSL verschlüsselt werden, mein Browser sagt mir das aber nirgends - im Chrome & Firefox steht sogar explizit drin, dass die Verbindung zur Website "nicht sicher" ist, wenn ich in der Adressleiste mir die Info anzeigen lasse. Verarschen die einen hier/haben keine Ahnung wie man SSL korrekt implementiert, oder werden meine Daten im Moment des Abschickens doch verschlüsselt und weder FF noch Chrome kriegen das mit?!

Danke
​Olunixus
 

trekkerfahrer89

Lieutenant
Dabei seit
Nov. 2012
Beiträge
561
Nagut, da steht auch noch das der Onlineshop in der Testphase ist.

Da kann so was schon sein.

Am besten du rufst da an.

mfg
 

Jesterfox

Fleet Admiral
Dabei seit
März 2009
Beiträge
39.042
oder werden meine Daten im Moment des Abschickens doch verschlüsselt und weder FF noch Chrome kriegen das mit?!
Das wäre möglich und war früher auch üblich (also das nur das Ziel des Eingabeformulars verschlüsselt war, die Seite mit der Form selbst aber nicht). Mittlerweile sollte man das aber eigentlich nicht mehr machen und auch schon die Eingabeseite selbst verschlüsselt ausliefern, als Schutz gegen Manipulationen an der Eingabemaske selbst.


Edit: ja, der Absende-Button führt tatsächlich auch eine HTTPS Seite, wäre also verschlüsselt. Aber wie gesagt sollte man das mittlerweile so nicht mehr machen und besser alles verschlüsseln. Denn es gibt mittlerweile genügend Angriffsszenarien um das Formular ansonsten zu manipulieren (und z.B. das Ziel auf eine andere fremde Seite umzuleiten)
 
Zuletzt bearbeitet:

Olunixus

Commodore
Ersteller dieses Themas
Dabei seit
Dez. 2009
Beiträge
4.558

0x8100

Lt. Commander
Dabei seit
Okt. 2015
Beiträge
1.083
bei mir ist da nichts verschlüsselt, die seite nutzt http und das ziel des formulars ist ein relativer link, also auch http:

src.png
 

SonyXP

Lt. Commander
Dabei seit
Okt. 2005
Beiträge
1.537
Chrome zeigt hier (via "Element untersuchen") einen verschlüsselten Link auf ein Webshop-Modul.

webshop.PNG
 

WilliTheSmith

Lieutenant
Dabei seit
Dez. 2008
Beiträge
987
Sieh dir den Button an:

HTML:
<input class="button" type="button" value="Bestellung vorbereiten" onclick="location.href='https://www.aurednik.de/cgi-bin/his-webshop.pl?t=temorder_ssl'">
Man wird auf die HTTPS-Seite weitergeleitet. Somit sind auch alle relativen Links nach einem Klick auf den Button HTTPS-geschützt. Ein "Test-Klick" zeigt dieses Verhalten auch im Network-Monitor.
 

Hauro

Vice Admiral
Dabei seit
Apr. 2010
Beiträge
6.573
Wenn der Warenkorb gefüllt ist, 'https://www.aurednik.de/cgi-bin/his-webshop.pl' in der Adresszeile eingeben, dann wird eine sichere Verbindung aufgebaut.

20170301_firefox_https_aurednik.de.jpg

Habe jetzt nicht ausprobiert, ob sich der Bestellvorgang abschließen lässt.

Es ist in jedem Fall unverständlich warum nicht alle Seiten verschlüsselt übertragen werden, da das Domain-validated (DV) Zertifikat für die Domain 'CN = www.aurednik.de' ausgestellt ist.

Siehe auch:
https://www.ssllabs.com/ssltest/analyze.html?d=www.aurednik.de
 
Zuletzt bearbeitet: (Ergänzung)
Top