Halihallo Andreas

Full ACK. Wir müssen nur unterscheiden von wessen Sicherheit wir sprechen. Sprechen wir von der Sicherheit der Webapplikation, dann hast du recht. Sprechen wir von der Sicherheit des Kunden, zieht meine Argumentation.

Wieso? Hängt das nicht zusammen? Wie ich jetzt Zugriff auf Kundendaten bekomme, ob bequem über die Browseroberfläche oder halt ein wenig anders - wo ist der Unterschied? Wo soll der Kunde denn sicherer sein? Man bekommt dieselben Informationen, kann dieselben Aktionen auslösen...

Ja, du hast schon recht. In den Account kommt man in jedem Fall, wenn man den Pwd-String
(mal den guten Vorschlag von Daniel ausgelassen) hat. Ich dachte eben mehr daran,
dass das Passwort dann viel einfacher zu extrahieren (oder besser: überhaupt) ist und
somit die "Sicherheit" des Kunden nachlässt, da eben sein Passwort im Klartext irgendwo
im Web rumschwirrt ;)
Du kennst ja die 0815-User, die immer mit demselben Passwort unterwegs sind, stell dir
vor, dass einmal ein solches Passwort unkodiert im web abgefangen wird... Das meinte ich
mit "Sicherheit des Kunden"; nicht dessen Daten oder Accountzugang, sondern seine
Sicherheit bzgl. Interaktion mit dem Web als ganzes gesehen.

Viele Grüsse

Philipp