Online-Shop schreib "SSL-Verschlüsselt", mein Browser ist anderer Meinung

​Ich hab hier einen Online-Shop gefunden: http://www.aurednik.de/online-shop
Wenn ich da auf "Warenkorb" klicke und dann "Bestellung vorbereiten" drücke komme ich direkt zur Eingabemaske für die Rechnungs-/Versanddaten und u.a. auch Zahlungsdetails wie Kreditkarte/Bankdaten etc...
Da steht dick und fett drüber das meine Daten via SSL verschlüsselt werden, mein Browser sagt mir das aber nirgends - im Chrome & Firefox steht sogar explizit drin, dass die Verbindung zur Website "nicht sicher" ist, wenn ich in der Adressleiste mir die Info anzeigen lasse. Verarschen die einen hier/haben keine Ahnung wie man SSL korrekt implementiert, oder werden meine Daten im Moment des Abschickens doch verschlüsselt und weder FF noch Chrome kriegen das mit?!

Danke
​Olunixus

Nagut, da steht auch noch das der Onlineshop in der Testphase ist.

Da kann so was schon sein.

Am besten du rufst da an.

mfg

Olunixus schrieb:

oder werden meine Daten im Moment des Abschickens doch verschlüsselt und weder FF noch Chrome kriegen das mit?!

Zum Vergrößern anklicken....

Das wäre möglich und war früher auch üblich (also das nur das Ziel des Eingabeformulars verschlüsselt war, die Seite mit der Form selbst aber nicht). Mittlerweile sollte man das aber eigentlich nicht mehr machen und auch schon die Eingabeseite selbst verschlüsselt ausliefern, als Schutz gegen Manipulationen an der Eingabemaske selbst.


Edit: ja, der Absende-Button führt tatsächlich auch eine HTTPS Seite, wäre also verschlüsselt. Aber wie gesagt sollte man das mittlerweile so nicht mehr machen und besser alles verschlüsseln. Denn es gibt mittlerweile genügend Angriffsszenarien um das Formular ansonsten zu manipulieren (und z.B. das Ziel auf eine andere fremde Seite umzuleiten)

Jesterfox schrieb:

[...]Edit: ja, der Absende-Button führt tatsächlich auch eine HTTPS Seite, wäre also verschlüsselt. [...]

Zum Vergrößern anklicken....

Wie kommst du darauf? Wenn ich mir den Seitenquelltext ansehe kann ich auch keine Einträge aus der Eingabemaske erkennen - wie ist das realisiert?

bei mir ist da nichts verschlüsselt, die seite nutzt http und das ziel des formulars ist ein relativer link, also auch http:

Chrome zeigt hier (via "Element untersuchen") einen verschlüsselten Link auf ein Webshop-Modul.

Sieh dir den Button an:


Man wird auf die HTTPS-Seite weitergeleitet. Somit sind auch alle relativen Links nach einem Klick auf den Button HTTPS-geschützt. Ein "Test-Klick" zeigt dieses Verhalten auch im Network-Monitor.

tatsächlich, stimmt. trotzdem nicht ordentlich umgesetzt, denn es setzt voraus, dass man über "bestellung vorbereiten" zum bestellformular gelangt. ruft man, warum auch immer, http://www.aurednik.de/cgi-bin/his-webshop.pl?t=temorder_ssl auf, so bestellt man evtl. doch ungesichert.

Wenn der Warenkorb gefüllt ist, 'https://www.aurednik.de/cgi-bin/his-webshop.pl' in der Adresszeile eingeben, dann wird eine sichere Verbindung aufgebaut.



Habe jetzt nicht ausprobiert, ob sich der Bestellvorgang abschließen lässt.

Es ist in jedem Fall unverständlich warum nicht alle Seiten verschlüsselt übertragen werden, da das Domain-validated (DV) Zertifikat für die Domain 'CN = www.aurednik.de' ausgestellt ist.

Siehe auch:
https://www.ssllabs.com/ssltest/analyze.html?d=www.aurednik.de