Daran scheitert es vielerorts aber - ich hab' schon Shops gesehen, die ein "riesiges" SSL-Logo hinplastern und dann durch die Bank ohne SSL arbeiten und sogar noch Kreditkartendaten inklusive CVC in eine Datenbank speichern.

Die werden dann aber auch kaum clientseitiges Passworthashing einbauen... :)

Nein, die bauen dann garnix ein :) zugegeben, dieser Fall ist ein Extrembeispiel aber ist mir tatsächlich so untergekommen. War ein Neukunde, dem wir dann nahegelegt haben diesen Shop umgehend vom Netz zu nehmen und die Daten sofort zu löschen - wurde dann mit Widerwillen auch gemacht.