Hallo Klaus [1],

Einlogg-Vorgang: Der Benutzer gibt den Namen und sein Passwort
ein und das Script prüft, ob das eingegebene Passwort
a) umgewandelt in ASCII, b) minus 3 und c) wieder zurückgewandelt
in einen Buchstaben gleich dem Benutzernamen ist...

So leid es mir tut, Du hast da leider zwei entscheidene Denkfehler in Deinen
Überlegungen.

Der erste Denkfehler ist, daß Du den Algorithmus gleich mitlieferst. Jeder
halbwegs aufgeweckte kann in den Quellcode schauen und sehen, daß Du einen
Vergleich zwischen 'Name+3' und 'pass' machst. Also muß man nur noch zwei
Zeichenkombinationen kodieren, die diese Bedingung erfüllen.

Der zweite Denkfehler ist, daß Du bei eine kryptische Verschlüsselung
angedacht hast, aber nicht weitergedacht hast. Angenommen das Script
hat nun durch eine wie auch immer geartete Überprüfung festgestellt,
daß der Benutzer Zugangsrechte hat. Dann muß das Script ihn aber immer
noch auf die "geschützte" Seite weiterleiten. Und wo soll wohl das Ziel
stehen, wenn nicht im Quelltext? Und dort kann das jeder lesen.

Das ist die Krux bei Versuchen, einen Passwortschutz mit Javascript zu
gestalten. Man liefert immer etwas mit, entweder nur den Algorithmus oder
aber auch gleich den Algorithmus und den Schlüssel. Sicherer ist es, den
Passwortschutz serverseitig und nicht clientseitig zu gestalten. Und da
gibt es bewährte Möglichkeiten, von irgendwelchen CGI-Skripten bis hin
zur htaccess [2].

[1] Klaus Störtebecker, nehme ich mal an. ;-)
[2] http://aktuell.de.selfhtml.org/artikel/server/htaccess/index.htm

• Tim