Hallo!
Dau hast vollkommen Recht, war auch nur so eine Spinnerei von mir, die Idee war einfach das Bruteforce-Tools/Scirpte und ähnliches kein Javascript können, udn wenn man irgendwei dem Server "un-nachbildbar" diese Informatiuon das der Client Javascript kann übermittlen könnte, wie auch immer, hätte man einen zusätzlichen Schutz.
Wie gesagt würde ich mich ganz bewußt absichtlich von Javascript abhängig machen.
Aber Du hast Recht, es ist ind bleibt http, da kann man einfach alles nachstellen, man könnte das ganze höchstens ein wenig verkomplizieren.
Serverseitig sichere ich mich schon, ist auch nicht so das ich irgendwelche Staatsgeheimnisse hüte, war halt nur mal so eine Idee, weil ich sowas auch mal von Michael Schröpl gehört hatte in diesem Zusammenhang, der sich IMHO sehr gut auskennt.

ich zitiere mal "kurz" aus besagtem, Posting http://forum.de.selfhtml.org/archiv/2002/5/12599/#m70743:

Wenn dieses Programm dann auch noch mit Deinen womöglich
JavaScript enthaltenden Seiten fertig werden muß, hast Du eine
nette zusätzliche Hürde aufgebaut, die nicht mit brute force,
sondern nur mit eigener Arbeit zu überwinden ist.

Warum JavaScript? In welcher Form kann mir hier Javascript etwas
bringen? Das verstehe ich nicht - als einziges sehe ich hier eine
Möglichkeit daran Besucher mit aktiviertem und deaktiviertem
Javascript zu unterscheiden? Meinst du das oder bin ich hier am
falschen Dampfer?

Wenn ich als Angreifer mit dem Erraten von URLs zwar Deine Session-ID
"brechen" kann, aber zusätzlich bestimmte Felder des HTTP-Headers auch
noch so senden muß, wie das der "belauschte" Browser tut, meiner aber
nicht kann, wäre meine nächste Idee, ein Programm wie meinen HTTP-
Tracer zu nehmen, also einen Roboter als HTTP-Client. Diesen so zu
schreiben, daß er HTTP bedienen kann, ist verhältnismäßig einfach -
wenn Deine Requests aber nur in einem Client korrekt funktionieren
würden, der JavaScript unterstützt, müßte ich einen kompletten Browser
schreiben!
Das soll nun keine Anregung sein, unbedingt JavaScript zu verwenden -
nur wenn Du das ohnehin schon tun würdest (wieso auch immer), wäre das
für den Angreifer eine zusätzliche Hürde, falls er nicht mit einem nor-
malen Browser angreifen kann, sondern einen "Eigenbau" braucht.

Ich verwende zwar Javascript (Mouseover-Grafiken),
allerdings funktioniert die Seite auch ohne
Javascript.
Hilft mir das dann was, weil ich dann vom HTTP-
Tracer verlange sich irgendwie zu deklarieren -
also ich verwende Javascript oder ich verwende es
nicht?

Nein. Wenn Du JavaScript nur für "nice to have"
verwendest, wird der Robot problemlos "korrekte"
HTTP-Requests erzeugen können.
Würdest Du beispielsweise mit JavaScript URL-Teile
in Links bzw. Formularen manipulieren, dann sähe das
anders aus.

Frage Dich einfach mal, ob ein Links-Checker durch Deinen Shop-Dialog hindurchlaufen könnte oder nicht.

Grüße
Andreas