Hi.

Warum glaubst Du ist auch für eine https-Verbindung ein anfänglicher Handshake nötig, bei dem jeder, der diesen mitliest, angegriffen werden kann?

Darf ich mal fragen: fuer wie scheisse haeltst Du https (bzw. SSL/TLS) eigentlich? :-)

Beim Handshake wird kein Schluessel im Klartext uebertragen (und das hast Du auch nicht ernsthaft gedacht, oder?), sondern nur Daten, mit denen beide unabhaengig voneinander, zusammen mit jeweils geheimen Daten, einen gemeinsamen Schluessel berechnen koennen. Wenn Du den Handshake abhoerst, weisst Du vom Schluessel erstmal gar nichts. Und da anzugreifen ist ungleich schwieriger als eine Email auszulesen, in der der Schluessel drinsteht.

Viele Gruesse,
der Bademeister