Hallo Marcus,

wenn ich jetzt https://secure.blabla.de/user/index.php?uname=blabla@passw?bla
eingebe klappt es nicht ...

Offensichtlich waren die Programmierer entweder so schlau nur Daten zu akzeptieren nachdem du jenes Formular angefordert hast oder sie nehmen sowieso nur Post-Daten an. Zudem hast du dort zwei ? in der URL, das ist meine ich nicht korrekt.

https://secure.blabla.de/user/index.php?uname=blabla@passw?bla&=okay

Auch hier sind die Parameter nicht sonderlich schön. Zudem ist dir bekannt, das Get-Parameter, also auch alles, was du hier so lustig an die URL hängst, in den Log-Files des Servers sowie in der History deines Clients auftaucht?

Grüße
  David