xaranshop^® - Die Onlineshop Software für kleine und mittelständische Unternehmen.

  Thomas Müller antwortet am 15.10.2010 13:18:17

Sie können nur den gesamten Webshop per SSL verschlüsseln.

Demo: https://ssl.webpack.de/xaranshop5.xaran.de/

Es ist sicherheitstechnisch unsinnig bzw. falsch, nur das Absenden der Bestellung per SSL zu verschlüsseln. Während des Bestellvorgangs werden die Daten in einer Session gespeichert, die immer domainbezogen ist.

Der Wechsel von http:// nach https:// oder http://ssl.webspack.de/... ist immer ein Wechsel der Domain, daher wird eine neue und damit leere Session gestartet und keine Artikel wären im Warenkorb.

Abhilfe kommt demnächst mit HTML5: http://dev.w3.org/html5/webstorage/

  Martin antwortet am 15.10.2010 15:26:14

Nunja, 'falsch' ist es insoweit, dass es müßig ist, sind die Einkaufsdaten nicht mehr verfügbar. Den Vorgang, Artikel in den Warenkorb zu legen, ohne dass (außer der IP-Adresse) über den noch-nicht-Besteller etwas bekannt ist, halte ich nicht für so sicherheitsrelevant, dass es einer verschlüsselten Übertragung bedürfte, daher mein Anliegen.

Da ich aber hierbei übersehen habe, dass auch vor dem Absenden einer Bestellung noch weitere Artikel geordert werden können, also 'von der Kasse zurück in den Laden', ist meine Überlegung tatsächlich 'unsinnig', solange der jeweilige Inhalt des Warenkorbs 'nur' in einer Sitzungs-Session gespeichert wird und damit beim Wechsel von HTTP nach HTTPS vice versa jeweils geleert wird, egal ob SSL-Proxy oder eigenes Zertifikat.

 mbecker (ατ) colorado-net.de         http://colorado-shop.de