Servus Soundi,
die Verbindungen werden zwar bei SSL in beide Richtungen verschlüsselt, aber die Daten vom Server zum Client werden nur mit dem Public Key verschlüsselt.
Ein "Man in the middle" kommt natürlich leicht an den Public Key - von daher kann er auch die Daten, die vom Server zum Client gehen, ohne große Probleme entschlüsseln.
Ich find sehr interessant, dass das offenbar kaum jemand weiss - habs auch in anderen Foren gepostet - da kommt auch immer die Antwort, dass ja beide Richtungen verschlüsselt sind :-)
alternative 1:
hab schon überlegt, ob man vielleicht zu beginn des bestellabschlusses die adressdaten in nem cookie speichert, und dieses cookie (oder die daten darin) nach erfolgter bestellung wieder löscht.
alternative 2:
oder gibts vielleicht ne praktikable möglichkeit, dass der server die daten nur an die IP rausrückt, von der sie auch gekommen sind. das würde ja ebenfalls den "Man in the middle" aussperren.
Das sind alles so Ideen, die ich dazu habe. Will da aber nicht rumexperimentieren, sondern suche nach einer bewährten Methode, die allgemein als sicher anerkannt ist.
Wer kennt sich da aus?
Gruß,
Markus