ssl-server

[Fionelli]

Öfter habe ich gelesen, daß man im Shop die Bestellungen unbedingt über ssl abwickeln sollte.
Da ich nur Vorkasse habe und somit keine Bankdaten oder Passwörter eingegeben werden,
wollte ich mir das erstmal sparen
Nun gerate ich soeben beim Surfen über google in den Warenkorb einer Kundin in einem
Shop, konnte sämtliche Bestell-Funktionen weiter ausführen und vorallem
das Passwort der Kundin lesen. Alles über ssl. Wie geht das? Ist da etwas falsch installiert?

[engelbert361]

Lief der Link denn über https:// ?
Eventuell war die Session-ID noch nicht abgelaufen, und daher noch aktiv. Und Google hat das Ganze dann indiziert. Hört sich für mich eher nach einem falsch konfigurierten Shop als nach einem SSL-Problem an.

[Fionelli]

Genau so wird es gewesen, engelbert361 (der Ängel war die software). Der Verkäufer ist nun auch informiert.
Unabhängig davon: macht ein ssl-Server Sinn (natürlich ein richtig Konfigurierter ) ,
wenn keine Bankdaten, Passwörter,.. im Shop eingegeben werden?

[gegangen]

Du hast es scheinbar geschafft in eine bestehende Session einzusteigen.
Das ist eher ein Problem eines schlecht programmierten Shops als ein SSL-Problem.

Allein, dass das Passwort sichtbar war, darf bei einer vernünftigen Software nicht passieren.