1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

SSL-Verschlüsselung fragwürdig

Dieses Thema im Forum "Browser" wurde erstellt von Amadeus, 16.12.05.

  1. Amadeus

    Amadeus Oberösterreichischer Brünerling

    Dabei seit:
    22.06.04
    Beiträge:
    718
    Hallo Ihr Apfeltalker!

    Auf der Homepage eines von mir sehr geschätzten Musikstudioausrüsters in Wien mit dem Namen KLANGFARBE bin ich auf eine Frage gestossen, bei der mir das Fachwissen über Verschlüsselungstechniken fehlt um sie lösen zu können - vielleicht könnt Ihr mit weiterhelfen.

    Nachdem man eine Ware ausgewählt hat, klickt man sich in auf die "Kassa" Seite, dort können dann Kreditkartendaten eigegeben werden (Bild Klangfarbe CC-Daten). Ebendort wird behauptet, die Seite würde verschlüsselt übertragen. Ich habe mir angewöhnt, dies immer selbst nachzuprüfen, und bekomme im Firefox 1.5 eine gegenteilige Meldung.

    Bei der Seiteninfo erhalte ich die Meldung (Bild Klangfarbe Seiteninfo)
    Bei der Frameinfo erhalte ich die Meldung (Bild Klangfarbe Frameinfo) - hier gibt es zumindest einen Hinweis auf einen SSL-Server.

    Die gleiche Seite habe ich in Safari und IE aufgerufen - das Ergebnis immer das gleiche, es wird nirgends ein "Schloss"-Symbol oder ähnliche Hinweise auf SSL angezeigt. o_O

    Auf eine Anfrage meinerseits bekam ich folgende Antwort des Programmierers der Site
    (Bild Mailkopie)
    Interessant - auf einem PC mit IE wird tatsächlich (Bild Mailkopie) eine Verschlüsselung angezeigt! Warum aber bei mir nicht...?

    Irgendwie finde ich das Argument

    "Sie können sicher sein, daß die Daten der Kassenseite auf www.klangfarbe.com <http://www.klangfarbe.com> verschlüsselt über eine sichere https:// Verbindung übertragen werden. Natürlich aber erst, wenn die Daten abgesendet werden, denn vorher gibt es nichts, das verschlüsselt werden müßte."

    ziemlich haarsträubend - so nach dem Motto: Vertrauen Sie uns ruhig, irgendwann verschlüsseln wir dann schon noch! :eek:

    Bin ich hier zu Unrecht misstrauisch und habe nicht den richtigen Durchblick? Oder ist die SSL-Verschlüsselung nicht sauber, sprich plattformübergreifend eingerichtet?

    Wer Lust und Zeit hat, der Vorgang kann mit ein paar Mausklicks auf der Website von "Klangfarbe" nachvollzogen werden.

    Vielen Dank für Eure Hilfe, die Sache interessiert mich wirklch sehr...

    Grüsse
    Amadeus
     
    #1 Amadeus, 16.12.05
    Zuletzt bearbeitet: 17.05.09
  2. Amadeus

    Amadeus Oberösterreichischer Brünerling

    Dabei seit:
    22.06.04
    Beiträge:
    718
    ** schieb! ** ;)

    vielleicht ist heut' abend zufällig jemand online, der sich da auskennt -- danke!

    Grüsse
    Amadeus
     
  3. Amadeus

    Amadeus Oberösterreichischer Brünerling

    Dabei seit:
    22.06.04
    Beiträge:
    718
    ok, letzter Versuch :innocent:

    Ist nämlich eigentlich mein absolutes Lieblingsgeschäft für mein Studiozeugs - wäre schade, wenn ich den wegen Sicherheitsbedenken wechseln müsste.

    Nochmals daher die zaghafte Frage, ob sich da jemand auskennt...:-D

    Happy Monday to everybody!

    Grüsse
    Amadeus
     
  4. chekov

    chekov Jerseymac

    Dabei seit:
    30.08.04
    Beiträge:
    448
    geh auf http://www.web.de ist nicht verschlüsselt oder sonstiges...
    dort trägst du benutzer und passwort ein und drückst auf absenden, dann bist auf ssl verschlüsselter seite...

    ist die gleiche problematik ;)

    also die haben recht. wenn du www.web.de aufrufst wird die newsseite mit den eigebetteten fenstern benutzername und passwort übertragen... Man könnte diese Seite natürlich auch schon SSL verschlüsseln, aber muss es natürlich nicht...

    wichtiger ist wohin deine daten die du grade "lokal" in die zwei felder eingetragen hast geschickt werden wenn du auf den sendebutton drückst! nämlich an <form action="https://login.web.de/intern/login/" method="post" name="fm">

    hoffe ich konnte es halbwegs richtig ausdrücken und es stimmt auch ;)
     
  5. Amadeus

    Amadeus Oberösterreichischer Brünerling

    Dabei seit:
    22.06.04
    Beiträge:
    718
    Hmmmmo_O

    Würde mich eigentlich wundern!

    Eine vertrauenswürdige Verschlüsselung setzt doch voraus, dass ich im Moment der kritischen Dateneingabe die Sicherheit meiner Daten nachprüfbar ist - dazu gibt es schliesslich die Seiten/Sicherheitsinformation.

    Wenn diese mir in Firefox 1.5/Safari eindeutig (siehe oben) mitteilt, dass die Daten unverschlüsselt übertragen werden, ist IMHO entweder die Site schlecht programmiert ist oder es liegt tatsächlich keine Verschlüsselung vor.

    Hat von Euch jemand diesbezüglich Erfahrung?

    Grüsse
    Amadeus
     
  6. Amadeus

    Amadeus Oberösterreichischer Brünerling

    Dabei seit:
    22.06.04
    Beiträge:
    718
    SSL-Verschlüsselung

    Tach zusammen!

    Würde gerne oben angeführte Problematik noch einmal kurz ansprechen - inzwischen hat sich der Programmierer der Website bei mir gemeldet, mit folgender Stellungnahme:

    Das ist tatsächlich eigenartig. Es dürfte aber ein reines Apple Problem sein. Auf Windows und Linux wird die Verschlüsselung richtig angezeigt. Mit Apple kann ich es leider nicht überprüfen. Wahrscheinlich betrachtet Apple nur das gesamte Frameset und ignoriert die Eigenschaften der einzelnen Frames. Dadurch könnte man aber leicht eine sichere Verbindung vortäuschen, obwohl die Subframes unverschlüsselt übetragen werden.
    Da die Website aber nicht zwischen den einzelnen Betriebssystemen unterscheidet und es für die Kassenseite nur die verschlüsselte Verbindung gibt, wird sicher auch bei Apple verschlüsselt. Andernfalls würde es zu einem Fehler kommen, weil die Seite gar nicht aufgerufen werden könnte.

    Hat vielleicht jemand eine Idee, woran es liegen könnte? Sorry, das ich hier so hartnäckig bin, ich bin ein ziemlicher Sicherheitsfreak wenn es um die Übermittlung persönlicher Daten geht o_O

    Grüsse
    Amadeus
     
  7. thumax

    thumax Gast

    Der Mann hat Recht: Die Seite mit dem Formular kommt & geht tatsächlich über eine verschlüsselte Verbindung, wohingegen der Rest der Website traditionell ausgeliefert wird.
     

Diese Seite empfehlen