Tach,
Das würde ja dann bedeuten, dass bei 99,9% aller Online-Shops im Internet solch ein Angriff möglich ist. Ich kenne eigentlich so gut wie gar keinen Online-Shop, bei dem man grundsätzlich auf https geleitet wird. Selbst bei Amazon und Ebay ist das doch nicht der Fall.
Oder habe ich Dich da jetzt irgendwie falsch verstanden?
nö, ist ein üblicher Implementierungsfehler; Amazon macht da noch ein bisschen Magie im Hintergrund, um das zu verhindern (im wesentlichen Wiedererkennung über mehr als nur das Session-Token) und fordert dann leiber nochmal das User-PW an.
mfg
Woodfighter