Tach auch,

Wenn ich jetzt ohne mich auszuloggen auf eine andere Site gehe, könnte doch der WEbmaster in seinen LOogfiles die Referrer-URL aufrufen und wäre unter meinem Namen eingeloggt, ohne mein Passwort zu kennen.

Das ist natürlich eine Sicherheitslücke, wenn die Session als String übergeben wird, deshalb solltest du dich immer ausloggen oder keinen Links folgen. Wenn die Session-Seite ordentlich programmiert ist, gehen aber sowieso keine direkten Links auf eine externe Seite, sondern erst durch ein Script, das der aufgerufene Server dann als Referer erhält. Außerdem Sessions verfallen auch nach einer Weile, damit ein Missbrauch nicht möglich ist.

Wenn aber nicht mit Sessions gearbeitet wird sondern einfach nur das Passwort unverschluesselt uebergeben wird, dann kann das ziemlich fiese Folgen haben.

Ich kenne mindestens eine Site wo man sich diese "Free Homepage mit Homepage Builder" einrichten kann (so aehnlich wie die beruehmt-beruechtigte Beepworld) und das Passwort unverschluesselt in der URL uebergeben wurde (oder vielleicht noch immer wird).

Ich fand das allerdings sehr praktisch: Ich konnte direkt in meinen Logfiles sehen wer direkt auf eins meiner Bilder verlinkt hatte. Und dann den Link gleich selber entfernen. Ich haette natuerlich auch noch ganz andere Sachen machen koennen, wovon ich allerdings dann doch Abstand genommen habe.

Gruss,
Armin