Nun ist meine Seite auch unter http und https erreichbar. Es handelt sich bei meiner Seite um einen Online-Shop. Aktuell habe ich es so eingerichtet, dass der Bestellprozess immer per https aufgerufen wird.

d.h. also ein Angreifer kann auf die eingegebenen Kundendaten zugreifen, indem er die unverschlüsselte Verbindung ablauscht, sich das Session-Token aus der URL oder dem Cookie holt und dann auf die Seesion zugreift, nachdem der Kunde seine Daten eingegeben hat?

Das würde ja dann bedeuten, dass bei 99,9% aller Online-Shops im Internet solch ein Angriff möglich ist. Ich kenne eigentlich so gut wie gar keinen Online-Shop, bei dem man grundsätzlich auf https geleitet wird. Selbst bei Amazon und Ebay ist das doch nicht der Fall.

Oder habe ich Dich da jetzt irgendwie falsch verstanden?