Hallo Bene,

Um zur Thematik zurückzukommen. Ich habe nochmal recherhiert. Nach dem OSI-Schichtenmodell erfolgt die Verschlüsselung noch. Das heißt wenn ich mir meine HTTP-Header anschaue und das Passwort kodiert sehe, heißt das nicht dass das so über das Internet übertragen wird, da die Verschlüsselung erst noch erfolgt. Stimmt das so? Würde mich wohler fühlen wenn mir das jemand bestätigen könnte.

Also vergiss erstmal bitte das _Konkrete_ am OSI-Modell - TCP/IP hält sich nämlich nicht dran. ;-) Behalte einfach nur im Hinterkopf, dass sich die Kommunikation in verschiedene Schichten einteilen lässt, die alle unterschiedliche Aufgaben haben.

Und nun zu Deinem Problem: Du schaust Dir im Firefox in Livehttpheaders die Übertragung zwischen Firefox und dem Server an. Du musst dazu wissen, dass "https" (also das, was man landläufig als SSL bezeichnet) für HTTP over SSL/TLS steht, d.h. die HTTP-Kommunikation erfolgt im Prinzip noch genauso, wie vorher, allerdings wird sie getunnelt in einem verschlüsselten (und meist noch authentifizierten) Kanal. Livehttpheaders macht nun folgendes: Es fängt im HTTP-Modul (oder wie auch immer das heißt, ich kenne die Interna nicht) vom Firefox die HTTP-Kommunikation ab. Ob das dann direkt über TCP/IP weiterverschickt oder nochmal über SSL getunnelt wird, interesssiert Livehttpheaders dabei nicht. Wenn Du bei Livehttpheaders also Klartext siehst, dann ist das kein Fehler, sondern beabsichtigt, da das auf einer anderen Ebene (Schicht) abläuft. Livehttpheaders wäre auch ziemlich sinnlos, wenn es den SSL/TLS-Datensalat anzeigen würde, denn Du willst ja schließlich auch die Kommunikation mit HTTPS-Servern debuggen können, oder?

Wenn Dein Browser nun anzeigt, dass die Verbindung verschlüsselt wird, dann würde ich erst einmal davon ausgehen, dass das stimmt. Denn zumindest wenn der Browser keine Sicherheitslücke hat und auch nicht manipuliert wurde, muss diese Information den Tatsachen entsprechen.

Wenn Du aber nun wirklich wissen willst, ob tatsächlich verschlüsselt wird, kannst Du ja mal probieren, mit Wireshark die Verbindung mitzuschneiden, und Dir dann den Kauderwelsch anzusehen. Wenn Du dann noch was erkennen kannst, wird nicht verschlüsselt und Du solltest Dir dringend überlegen, was Du dagegen tun kannst oder Du hast eine Begabung, im Kopf Verschlüsselungsverfahren im Nullkommanichts zu knacken. In letzterem Fall könntest Du Dich bei der NSA bewerben. ;-)

Viele Grüße,
Christian