[quote=“pino”]ich kann eure aufregung und beschwerde an SWag nicht nachvollziehen. wie ich paar post zuvor eine htaccess lösung gezeigt habe und artep nun auch, bleit es einem betreiber selbst überlassen ob er SSL verwendet oder nicht, und ob https erzwungen wird (htaccess).[/quote] Das Problem, wenn Anfragen per rewrite umgeschrieben werden ist, dass zuerst ein normaler HTTP Request angefragt wird, dann merkt der Webserver: “Oh, meine rewrite Regel trifft zu, bitte zu HTTPS umschreiben”, und erst dann ein gesicherter Requests ausgeführt wird. Wenn man sich also in einem Netzwerk befindet, in welchem auch andere Zugang haben, lässt sich dieser erste Request ohne SSL inklusive Session ID mitschneiden. Dann kann man sich die komplette Verschlüsselung auch sparen, denn ein Angreifer kann in meinem Namen und mit meinen Zahldaten mithilfe der Sessioninformationen eine Bestellungen durchführen. Shopware hilft dabei sogar noch, denn selbst wenn man sich selbst entscheidet, SSL zu nutzen, führen (fast) alle Links wieder auf eine ungesicherte Seite. Verstehst du nun, warum sich einige Leute hier beschweren? Das ist meiner Meinung nach einer der Hauptgründe, immer SSL zu nutzen; aus reinen Privacy Gesichtspunkten gibt es noch einige weitere Argumente, den kompletten Traffic mit SSL zu sichern. Keine der genannten .htaccess Regeln kann also den kompletten Traffic sichern, und es bleibt immer noch die Gefahr des Session hijacking (unerlaubt ins Backend einloggen, Bestellungen als jemand anderes durchführen), wenn man sich in öffentlichen Netzwerken befindet.