Hi Peter,

Folglich hat der Spion ja nur die verschlüsselte Version des
Passwortes. Damit kann er aber nix anfangen, da das bereits
verschlüsselte Passwort bei der Eingabe in das Passwortfeld
NOCHMAL verschlüsselt wird. Dabei kommt dann nicht wieder
das original Passwort raus. Alles logo?

warum sollte der Spion das Passwortfeld verwenden?

Er kann doch einfach den URL absaugen (LWP::UserAgent etc.)
nd den belauschten Header mit senden.

Viele Grüße
      Michael