Hi,

Was ist beispielsweise an den wöchentlichen Sonderangeboten von Aldi so geheim, dass man sie verschlüsselt übermitteln muss?
Die GET-Requests wohl kaum. Die wandern trotzdem unverschlüsselt durch das Netz.

nein, mitnichten. Und mit Neffen schon gar nicht.
Bei HTTPS wird erst die SSL/TLS-Verbindung aufgebaut, und erst dann innerhalb dieses verschlüsselten und "abhörsicheren" Kanals der HTTP-Request gesendet. Ob GET oder POST, ist dabei völlig egal.

Oder meintest du den ersten Seitenabruf, z.B. von http://www.aldi-sued.de/, der vom Client aus noch unverschlüsselt rausgeht? - Der wird ja dann auch nur mit einem Redirect auf dieselbe Adresse, aber mit HTTPS-Prefix beantwortet.

Es weiß also jeder poplige Obama-Spitzel und jeder Rasputin-Mitarbeiter dass DU bei ALDI geschaut hast.

Es kann jeder wissen, dass ich eine Verbindung zum Aldi-Webserver hergestellt habe. Aber ob ich dort Sonderangebote, das Firmenprofil oder Stellenangebote abgerufen habe, weiß keiner. Die Requests sind nicht abhörbar. Theoretisch.

Aber was passiert mit den Post-Daten? Die sind Bestandteil der Payload und damit verschlüsselt, oder?

Die Frage ist gegenstandslos, weil alle Requests und Responses verschlüsselt übermittelt werden, nachdem die Verbindung hergestellt ist.

Anders ist es, wenn man zu Aldi eine VPN-Verbindung aufbauen würde. Dann wären auch die GET-Requests innerhalb der "Hülle".

Nein, das sind sie bei "gewöhnlichem" HTTPS auch.

Ciao,
 Martin