Hallo,

um die sicherste Methode zu erhalten:
1. Formular nicht per email übertragen (sondern z.B. in Datenbank schreiben und nur ein Mail verschicken, dass neuer Eintrag vorhanden). Emailübertragung ist unverschlüsselt (PGP odgl.) immer abhörbar.

2. Die Übermittlung zwischen Client und Server per https-Verbindung abwickeln. Dabei ist die gesamte Kommunikation zwischen Server und Besucher verschlüsselt und unterwegs nicht einfach einsehbar.

Mit JavaScript wird es _nie_ sicher, da clientseitig und sich alle Verschlüsselung stets beim User vollzieht, d.h. auch nachvollziehen lässt.

Grüße aus Würzburg
Julian

Hallo!

Ich bin leider kein Programmierprofi deshalb benötige ich eure Hilfe bei folgendem Problem:
Es geht um ein Java-Script Formular mit dem Kreditkarteninformationen via mail von einer Homepage auf meinen e-mail account übermittel werden. Leider kann ich die Daten nicht verschlüsseln und ich bekomme immer eine Meldung vom Internet Explorer, dass die Übermittlung nicht sicher ist! Wie kann ich diese Übermittlung sicher machen.

Uii, du hast zwei Probleme.

Das erste hast du schon erkannt: Die Daten werden unverschlüsselt übermittelt, deshalb meckert der Browser. Und die logische Konsequenz ist, die Daten verschlüsselt zu übertragen.

Das zweite Problem ist aber: Welcher User wird sich trauen, in einer solch unsicheren Umgebung vitale Finanzdaten zu übermitteln? Nur die doofen User, und deren Anteil ist immer dann ganz besonders gering, wenn man viele davon brauchen kann (und umgekehrt wimmelt es von Doofen, wenn sie den größtmöglichen Nervfaktor haben).

Bitte nimm in jedem Falle Abstand von einer Javascript-Lösung! Auch wenn man damit im Prinzip sichere Übertragungen erledigen könnte (zum Beispiel, indem man PGP nachprogrammiert), wird die eigentliche Datenübertragung vom Browser zum Server unverschlüsselt stattfinden (dann eben unverschlüsselt übertragene, von Javascript verschlüsselte Daten), so daß der Browser das Gemecker niemals aufgeben wird. Sichere Übertragung ohne Browsergemecker geht nur mit HTTPS. Und die Internetuser haben mittlerweile gelernt, auf die Anwesenheit von HTTPS zu achten. Ohne HTTPS keine Kreditkarteninfo.

Das dritte Problem ist dann die von dir gewünschte Übermittlung per EMail. Ups, schon das nächste Sicherheitsloch! Und ein sehr lohnendes, denn wer es schafft, deinen EMail-Verkehr abzufangen (simpel durch Knacken oder belauschen deines Postfaches, da landen die Mails ja gewöhnlich), der hat dann bei unverschlüsselten Mails reichlich Kreditkartendaten.

Auch hier gilt: Entweder holst du dir HTTPS-gesichert neue Kundenbestellungen vom Server ab, oder du verschickst PGP-verschlüsselte EMails.

Bitte keine Eigenlösungen! Entweder verwendest du eine nachgewiesen sichere und vorgefertigte Methode wie PGP und HTTPS, oder du läßt es. Es sind schon vorher viele Leute auf die Idee gekommen, eine Verschlüsselung selbstzustricken, und dabei reichlich auf die Schnauze gefallen (unter anderem so klingende Namen wie z.B. Microsoft mit der Dateiverschlüsselung einer schon älteren Excel-Version).

- Sven Rautenberg