Moin!

Warum dann die Vortäuschung von Sicherheit durch SSL?

Wiegesagt, in diesen Aspekt habe ich noch garnicht decaht ... sorry.
Aber es ist doch dann immerhin schonmal ein Teil des Weges,
den die Daten nehmen, verschlüsselt. Ist doch schon mal besser als garnicht, oder?

Was soll daran gut sein?

HTTP muß man "abfangen", während die Daten übertragen werden. Auf dem Server selbst werden sie nur einen kurzen Moment aktiv als Daten im Skript behalten, danach sind sie wieder gelöscht. HTTPS sichert den kurzen Moment der Datenübertragung.

Eine unverschlüsselte Mail kann man auf dieselbe Weise natürlich auch abfangen - aber die Mail sitzt dann für eine kürzere oder längere Zeit im Postfach deines Mailproviders bzw. -servers und bietet damit noch eine ganz andere Möglichkeit, dass andere davon Kenntnis erlangen können.

In jedem Fall führst du die Benutzer in die Irre. Es ist ja eben gerade NICHT so, dass die Benutzung des SSL-Formulars die Daten von vorne bis hinten verschlüsselt und somit gegen Einsichtnahme durch unerwünschte Dritte sichert. Genau diesen Punkt kann man als Benutzer des SSL-Formulars aber nicht erkennen. Das bedeutet: Wer wirklich zwingend das SSL-Formular benutzen will, weil er auf die unverschlüsselte Datenübermittlung nicht verzichten will, der wird ganz böse in die Irre geführt, weil du die Daten dann unverschlüsselt weiterleitest.

Würdest du hingegen KEIN SSL-Formular anbieten, würde jeder Benutzer sofort erkennen können, dass seine Daten unverschlüsselt übermittelt werden - und er wird davon Abstand nehmen, wenn es ihm nicht geheuer ist.

Jede Verschlüsselung ist nur so stark, wie ihr schwächstes Glied. Wenn an irgendeiner Stelle der Datenübermittlung nicht verschlüsselt wird, ist jeglicher anderweitig betriebene Aufwand sinnlos, weil ein Angriff dann eben genau DIESE Stelle erfolgreich angehen kann.

- Sven Rautenberg