Moin!

Ähnlich wollte ich bei der "Ajax-Variante" alle nicht
sicherheitsrelevanten Daten per http und wieder nur die Kunden- und
Zahlungsdaten per https übertragen.

Das funktioniert auch. Da aber ja die Seite (Ajax) nicht neu geladen
wird, wird natürlich kein Sicherheitssymbol im Browser angezeigt.

Das funktioniert wirklich? Ich hätte jetzt gedacht, dass es NICHT funktioniert, weil die Same-Origin-Policy von Javascript eben auch protokollabhängig reagiert: http://example.com und https://example.com sind nicht identisch. Da sollte auch XMLHttpRequest eigentlich meckern.

Das ist alles sehr logisch aber eben auch unschön weil der Benutzer nun
denkt, seine Daten werden unverschlüsselt durchs Netz geschickt.

Ist jemanden für dieses Problem eine Workaround bekannt?

Simpel: Stell den Shop komplett auf HTTPS um. Sollte kein großes Problem darstellen.

- Sven Rautenberg