Ajax und sichere Datenübertragung in Webshop
Steffen Flämig
- programmiertechnik
Hallo,
ich bastele an einer Ajax Variante eines Webshops.
Bei der "Nicht-Ajax-Variante" werden alle Seiten per http übertragen.
Erst für die Übertragung der eigentlichen Kundendaten wird https
verwendet und im Browser mit dem entsprechenden Symbol angezeigt.
Ähnlich wollte ich bei der "Ajax-Variante" alle nicht
sicherheitsrelevanten Daten per http und wieder nur die Kunden- und
Zahlungsdaten per https übertragen.
Das funktioniert auch. Da aber ja die Seite (Ajax) nicht neu geladen
wird, wird natürlich kein Sicherheitssymbol im Browser angezeigt.
Das ist alles sehr logisch aber eben auch unschön weil der Benutzer nun
denkt, seine Daten werden unverschlüsselt durchs Netz geschickt.
Ist jemanden für dieses Problem eine Workaround bekannt?
Gruß
Steffen
Moin!
Ähnlich wollte ich bei der "Ajax-Variante" alle nicht
sicherheitsrelevanten Daten per http und wieder nur die Kunden- und
Zahlungsdaten per https übertragen.Das funktioniert auch. Da aber ja die Seite (Ajax) nicht neu geladen
wird, wird natürlich kein Sicherheitssymbol im Browser angezeigt.
Das funktioniert wirklich? Ich hätte jetzt gedacht, dass es NICHT funktioniert, weil die Same-Origin-Policy von Javascript eben auch protokollabhängig reagiert: http://example.com und https://example.com sind nicht identisch. Da sollte auch XMLHttpRequest eigentlich meckern.
Das ist alles sehr logisch aber eben auch unschön weil der Benutzer nun
denkt, seine Daten werden unverschlüsselt durchs Netz geschickt.Ist jemanden für dieses Problem eine Workaround bekannt?
Simpel: Stell den Shop komplett auf HTTPS um. Sollte kein großes Problem darstellen.
- Sven Rautenberg
Hallo,
Das funktioniert wirklich? Ich hätte jetzt gedacht, dass es NICHT funktioniert, weil die Same-Origin-Policy von Javascript eben auch protokollabhängig reagiert: http://example.com und https://example.com sind nicht identisch. Da sollte auch XMLHttpRequest eigentlich meckern.
Oops! Als ich das vor einer Weile einmal ausprobiert habe, hatte ich wahrscheinlich die ganze Seite mit https geladen. Es funktioniert aus den von Dir genannten Grund tatsächlich nicht.
Das ist alles sehr logisch aber eben auch unschön weil der Benutzer nun
denkt, seine Daten werden unverschlüsselt durchs Netz geschickt.Ist jemanden für dieses Problem eine Workaround bekannt?
Simpel: Stell den Shop komplett auf HTTPS um. Sollte kein großes Problem darstellen.
Ja, das sollte gehen.
Danke.
Gruß
Steffen