Hi,

Jetzt die Frage: Wurde da durch die Benutzung von Javascript eine Sicherheitslücke eröffnet? Kann dem User ein Javascript untergejubelt werden auf dem Weg vom Appl-Server zum Browser?

Dass jemanden während der Übertragung einer verschlüsselten Seite ein JavaScript untergejubbelt wird, halte ich für äußerst unwahrscheinlich. Denn gerade dafür ist die Verschlüsselung ja da: Damit niemand den Inhalt sehen und verändern kann. Der Angreifer müsste also quasi in Echtzeit die Verschlüsselung knacken und das JS einspielen. Da gibt es elegantere Lösungen ;)

Ein mögliche "Lösung" könnte sein: Was imho möglich wäre ist, dass jemand die Seiten fälscht und spiegelt. Also dass in Wirklichkeit die Seiten nicht von deinem Server kommen, sondern von einem anderen Server. Dieser könnte dann natürlich die Daten, die, von mir aus auch verschlüsselt über https zum Fremdserver übertragen werden, auch mitloggen und diese dann an den echten Server weiterleiten. So merkt der User im "Idealfall" nichts. Der User muß halt aufpassen, daß er sich nur über vom Originalserver gelieferte Seiten einloggt.

Viele Grüße...

Alex :)