Guten Morgen noch einmal Christoph,

zunächst vielen Dank für deine hilfreiche Suche, ich habe dies letzte Woche nicht gefunden :->

"Nach dem Abschicken der Daten prüfe ich ob Passwort und User richtig sind: wenn ja, mache ich einfach eine weiterleitung per header ("Location: ./"); auf die gleiche Seite. Schwupp sind die Login Daten per Browser-Back Button verschwunden!"

Ja, jetzt wo die's sagen, fällt's mir auch wie Schuppen aus den Haaren ;-)

Boar, ich bin begeistert! Es ist doch eine annehmbare Lösung, nicht war? Und das Beste, es fungdschoniert sogar mit dem Mikkrosaft Indernet-Explodierer *ggg*

So ganz korrekt ist es aber nicht, die Sache mit der "hidden ID" wäre schon sauberer, aber dafür braucht es ja zwei IDs und damit kostbare Entropie.

Das stimmt schon, allerdings sehe ich die Weiterleitung nach dem Login als gute Lösung, die man dem User anbieten kann. Selbst wenn sich der User via "Back-Button" wieder einloggen kann, er wird ja vorher vom Browser gefragt und hat somit die Möglichkeit, selbst zu bestimmen...

Viele Grüße und nochmals vielen Dank,
Erri