Beiträge von fschoene

Der Ablauf ist so:
Mit Absenden der Formulars wird vom Browser ein HTTP-Request an die im action-Attribut hinterlegte Adresse gesendet.
Dieser HTTP-Request beinhaltet die Formularparameter als POST-Elemente im Klartext.
Mit der Übergabe der Parameter durch den Webserver an das Script auf dem fernen Webserver werden die Daten im weiteren Verarbeitungsverlauf SSL-Verschlüsselt. Aber erst dann.
Es ist eben nicht so, dass der Browser auf dem Client-Computer eine SSL-Verbindung aufbaut.
Nur wenn die Formularseite bereits SSL-Verschlüsselt ausgeliefert wird, werden alle folgenden Aktionen auch so verarbeitet.

Nochmal:
Die Daten des Benutzers werden bei der Authentifizierung unverschlüsselt - also im Klartext - über das Internet an den Server der Onleihe übertragen. Erst dort wird dann eine verschlüsselte Verbindung zum LMS hergestellt.
In der allgemeinen Datenschutzerklärung steht im Gegensatz dazu:

Zitat

Es wird ein verschlüsselter Kanal zur Nutzerdatenbank der Bibliotheken hergestellt, um den Bibliotheksnutzer unmittelbar durch seine Bibliothek authentifizieren zu lassen.

Tatsächlich wird also keine unmittelbare, verschlüsselte Verbindung hergestellt.

Also die Daten werden definitiv ungesichert übertragen. Da das Eingabeformular die Daten ungesichert per POST an https://upa.onleihe.de... übergibt. Erst von dort werden die Daten dann verschlüsselt weitergereicht.
Das ist eindeutig zu wenig Sicherheit.

Viele Grüße - F. Schöner