Hallo,

bin eben ueber nachstehend auszugsweise gepostetes script gestolpert.
ums vorwegzunehmen: ich denke zu wissen, dass es keinen sicheren pwdschutz mit javascript gibt.

<form name="login">
bei eingabe und login passiert ... nix.
ein fake, oder?

Meines Erachtens ja, schon weil das "action"-Attribut in form fehlt.

Das ist aber auch der einzige Grund!
Ansonsten ist das eine ganz normale Form, die über js abgeschickt werden soll.

Reiner

Nun ja, das ACTION-Attribut fehlt, dann nehmen die meisten Browser eben die aktuelle Seite und schicken einen GET-Request ab. Sprich: Die Abfrage endet in einem Aufruf der Art

http://wo.auch.immer/dieses/formular/herkam.html?user=EINAGBE_USER&user2=EINGABE_USER2

Das kann man dann (ohne CGI auf dem Webserver) wiederum in einem ONLOAD-Script auf der Seite auswerten und woanders hinspringen.

Mir ist klar, das das weder sicher noch W3C-konform ist, aber es geht. Außerdem: Wer sagt, das hinter der Seite kein CGI steckt ?

http://ein.beispiel/bla/fasel/laber/rhababer.html

Was wäre, wenn in dem Beispiel oben "bla" ein CGI-Verzeichnis wäre, in dem "fasel" ein CGI-Script ist, das die PATH_INFO "laber/rhababer.html" übergeben bekommt, auswertet und dynamisch eine Seite ausliefert ? Es ist von außen absolut nicht nachzuvollziehen, welche Seiten statisch sind und welche von CGI, ASP, JSP, mod_perl, PHP, oder sonstigen Sprachen dynamisch erzeugt werden. Man kann sehr oft raten, z.B. bei /cgi-bin/ in der URL, oder bei datei.asp|pl|jsp|php|php3|php4|cgi?parameter=wert. Aber all das läßt sich bequem faken.

Alexander