Wie muss SSL aussehen im Browser?

[Root]

Habe gerade etwas sehr merkwürdiges entdeckt. Wollte via www.bidpay.com eine Ebay-Auktion bezahlen, gehe durch die Anmeldung und wundere mich, dass ich bei der Kreditkarteneingabe immer noch kein https:// oben seh. Die Seiteneigenschaften zeigen auch nix dergleichen an (siehe Screenshot).
Ist es dort allen Ernstes möglich, unverschlüsselt Kreditkarteninformationen einzugeben?! Wenn man händisch https:www.bidpay.com angibt, geht´s, aber das kann´s ja nicht sein, oder?

Klärt mich bitte auf, ob es sich trotzdem um eine sichere Verbindung handeln kann - kann das nicht ganz glauben.

[eAnic]

Gib mal bitte kurz deine Kreditkartennummer an, damit ich dir bei dem Problem helfen kann?
Frage beantwortet?

[Root]

Zitat:

Original geschrieben von eAnic
Gib mal bitte kurz deine Kreditkartennummer an, damit ich dir bei dem Problem helfen kann?
Frage beantwortet?

Äh... nein, da steh ich wohl auf der Leitung, von der ich immer noch nicht weiss ob sie verschlüsselt ist oder nicht

[_m3]

Zitat:

Original geschrieben von Root
Ist es dort allen Ernstes möglich, unverschlüsselt Kreditkarteninformationen einzugeben?!

https ist eine Option, kein technologisches "muss".
Daher ist es technisch durchaus möglich, Kreditkarteninformationen auch unverschlüsselt über das Internet zu übertragen.

Und nochwas zum Nachdenken: Wie oft hast Du schon gehört, dass jemand eine Kreditkartennummer durch "abhören" abgefangen hat? AFAIK noch nie. Die "klassische" vorgehensweise ist vielmehr, den Server, auf dem die Daten gespeichert werden, zu knacken. Weil dort liegen die Daten zumeist unverschlüsselt in der DB.
http://www.intern.de/news/553.html
http://www.heise.de/newsticker/meldung/print/7543

[Root]

Interessant.... Du meinst also, dass SSL quasi "unnötig" ist zB auch bei der Übertragung von Registrierungsdaten?
Mir ist schon bewusst, dass SSL eine Option ist. Ich dachte auch, es wäre eine sehr wichtige Option, oder nicht?
Was mir auch eigenartig anmutet, ist die Tatsache, dass es sehr wohl die Möglichkeit der SSL-Verschlüsselung gibt (habe ja die gleiche Seite mit https://www.bidpay.com "händisch" aufrufen können, da war´s dann verschlüsselt). Wirkt das nicht ein wenig schwindlig?

[_m3]

Ja, ist schwindlig. SSL ist aber IMHO eher ein Ding, das einem so ein angenehmes Gefuehl gibt, wenn man seine Kreditkartennummer eingibt, als eine echte Sicherheitsmaßnahme. Weil der Aufwand den man betreiben muss, um mit einem Sniffer die Nummer abzufangen ist schon recht hoch (physischer Zugriff auf das Netzwerk des Senders oder Empfängers bzw. eines ISPs dazwischen, etc.).

Nichts destotrotz sollte es für jeden Online-Anbieter selbstverständlich sein, dass der SSL anbietet. Das ist einfach eine Sache des guten Rufs. Das gehoert dazu.

Aber wie gesagt, der tatsächliche Schwachpunkt ist selten die Verbindung selbst, sondern eher der Endpunkt. Oder kennst Du einen Shop-Anbieter, der die Daten verschluesselt in einer DB ablegt?

[Root]

Ja, das ist schon komisch. Anbieten tun sie´s ja, die schreiben ja sogar hin, wenn man seine Daten angibt, dass über SSL verschlüsselt wird. Bevor ich allerdings die Sachen eingegeben hab, hab ich aber die https - Seite aufgerufen.
Interessant, es wird einem ja immer eingebleut, dass SSL wichtig ist - Du meinst wirklich, dass das quasi wurscht ist?

"Kennt" man Bidpay eigentlich?

[Root]

Das erstaunt mich aber wirklich, dass es hauptsächlich um die Endpunkte zu gehen scheint. Hast Du weitere Infos/Links dazu?

Bzgl. Shops, Datenbanken und verschlüsseln - keine Ahnung, hab da zu wenig damit zu tun. Hast Du beruflich damit zu schaffen oder ist das reines Interesse bei Dir? Ist ja ein sehr interessantes Thema.

[Root]

Bzgl. anbieten: es gibt halt dort nirgends einen Link oder eine andere Möglichkeit, eine SSL-Verbindung auszuwählen, ausser händisch https einzugeben. Naja.