Hi,

danke dir für deine Hilfe. Ich kopiere dir mal alles hier rein, was ich von wireshark erhalte, wenn ich "follow tcp-stream" nutze. ich rufe auf dem Host example.com (geändert) die Datei test.php auf, die nur das Wort "maus" ausgibt.

normalerweise müsste ich jetzt mäkeln, dass du die eigentlich wichtigen Informationen (nämlich den Hex-Dump der empfangenen Daten) weggelassen hast und stattdessen nur die unvollständige ASCII-Ersatzdarstellung zeigst. Das mach ich aber nicht, denn ich sehe etwas im HTTP-Response-Header, das das Problem vollständig erklärt.

GET /test.php HTTP/1.1

Host: example.com
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux i686; rv:17.0) Gecko/20100101 Firefox/17.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,/;q=0.8
Accept-Language: de-de,de;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Connection: keep-alive

HTTP/1.1 200 OK
Date: Sun, 19 May 2013 17:19:31 GMT
Server: Apache
X-Powered-By: PHP/5.2.12-nmm4
Vary: Accept-Encoding
Content-Encoding: gzip
Content-Length: 24
Keep-Alive: timeout=1, max=100
Connection: Keep-Alive
Content-Type: text/html; charset=UTF-8

  
Entscheidend ist der Response-Header "Content-Encoding: gzip". Da dein Browser im Request-Header angegeben hat, dass er die Antwortdaten gegebenenfalls auch komprimiert akzeptiert ("Accept-Encoding: gzip, deflate"), hat der Server das wörtlich genommen und sich entschlossen, die Antwort gzip-komprimiert zu schicken. Natürlich nur den Datenblock, der Header muss in jedem Fall Klartext bleiben.  
Es handelt sich also hier nicht um verschlüsselte Daten im üblichen Sinn, sondern komprimierte. Und da der Browser gesagt hat, "Kannst mir ruhig gezippte Daten schicken", wird er sie auch intern selbst ent-zippen.  
  
So long,  
 Martin  

-- 
Ich verdanke meinen Eltern so viel - besonders meiner Mutter und meinem Vater.  
  (Dakota Fanning, US-Nachwuchsschauspielerin)  
Selfcode: fo:) ch:{ rl:| br:< n4:( ie:| mo:| va:) de:] zu:) fl:{ ss:) ls:µ js:(