Hallo Hans

Es gibt doch best. Sites, die in der URL der personlaisierten SEite den USername und das verschlüsselte Passwort beinhalten (z.B. bei ebay).

Nein, das ist nur eine zufällig erzeugte ID. An dieser erkennt dich der Server und kann dadurch die Daten, die er in seinem Speicher abgelegt hat, aufrufen. Das ganze nennt sich Sessions.

Wenn ich jetzt ohne mich auszuloggen auf eine andere Site gehe, könnte doch der WEbmaster in seinen LOogfiles die Referrer-URL aufrufen und wäre unter meinem Namen eingeloggt, ohne mein Passwort zu kennen.

Das ist natürlich eine Sicherheitslücke, wenn die Session als String übergeben wird, deshalb solltest du dich immer ausloggen oder keinen Links folgen. Wenn die Session-Seite ordentlich programmiert ist, gehen aber sowieso keine direkten Links auf eine externe Seite, sondern erst durch ein Script, das der aufgerufene Server dann als Referer erhält. Außerdem Sessions verfallen auch nach einer Weile, damit ein Missbrauch nicht möglich ist.

Schöne Grüße

Johannes