Yo!

Da du keine Verschlüsselung benutzt, können die auf der Seite angezeigten Daten ja nicht so kritisch sein, daß sie niemand sehen darf - denn sonst hättest du SSL benutzt, oder?

Schon mal dran gedacht, dass nicht jeder seinen Server bei Sich zuhause stehen hat und installieren kann, was er will? Nehen wir beispielsweise einen Terminkalender eines Vereins. Da will ich eben nicht, dass jeder Daten eintragen kann, andererseits ist die Kosten/Nutzen-Rechnung für SSL-Einsatz eindeutig.

Hab ich doch genau gesagt:

Wenn die Session abgemeldet ist, kann man lediglich sehen, was der vorher eingeloggte Mensch auch gesehen hat, aber man kann keine Funktionen aufrufen (wenn man das doch kann, ist falsch programmiert worden). Nur wenn die innerhalb des Session übermittelten Daten wirklich vertraulich sind, ist SSL angesagt. Der Kalender wird read-only irgendwo veröffentlicht sein, also ist es relativ egal, ob man den über die alte Session auch sehen kann.

- Sven Rautenberg