Hallo Julian,

Hintergrund ist folgender: Auf der Homepage der HypoVereinsbank ist die Login-Möglichkeit für Internetbanking auf der normalen (Start-)Seite. erst die Zieladresse des Formualrs geht auf eine "https://.."-Adresse. Das heißt doch, dass bei der erstmaligen Übertragung von Daten (also dem Login) diese Daten noch unverschlüsselt durchs Netz jagen, oder?

Nein, die Daten werden schon verschlüsselt, das ist nicht das Problem. Das Problem ist eher, dass das Formular nicht über SSL übertragen wird. SSL stellt nicht nur Verschlüsselung zur Verfügung, sondern auch die Authentifizität des Gegenübers über Zertifikate. (d.h. der Webserver kann sozusagen »beweisen«, dass er wirklich zur Bank und nicht zum Dieb gehört) Wenn das Formular aber nicht über SSL übertragen wird, dann könnte jemand das Formular fälschen und somit die Zieladresse manipulieren, ohne dass der Benutzer etwas merkt. Dadurch würde der Benutzer auf eine andere Seite umgeleitet werden, ohne dass er es sofort merkt (wer schaut schon jedes Mal in den Source?) und würde seine Daten preisgeben. In der aktuellen iX stand genau zu dem Thema etwas, ich glaube sogar, dass die HypoVereinsbank als Beispiel erwähnt wurde.

Daher: _Alle_ kritischen Seiten, auch Formulare, sollten über SSL zu erreichen sein. Lieber ein Click mehr (um auf die Login-Seite zu kommen) als ein leeres Konto.

Christian