Moin!

Jedes Formular, dass Du von Deinem Server aussendest, bem´kommt ein Unique-Zertifikat mit auf den Weg. Dieses Zertifikat wird in einer DB zusammen mit der Session-ID als "unbearbeitet" eingetragen. Wenn unter diesem Zertifikat innerhalb einer Zeitspanne ein Request zurückkommt, wird dieser bezüglich der enthaltenen Felder überprüft und wenn keine Abweichungen vorhanden sind, abgearbeitet.

Was hindert einen Angreifer daran, einen content-modifizierenden Proxy zwischen Server und Benutzer zu hängen/programmieren? Dann kann man sowohl Login-Daten als auch sämtlichen Form-IDs abgreifen und selbstverständlich auch vorgangskorrekt wieder zurücksenden lassen.

Dein Ansatz, dem Benutzer genauestens auf die Finger zu gucken, ist zwar gut, verhindert aber nur, dass der Benutzer selbst absichtlich oder unabsichtlich aus der Reihe tanzt.

• Sven Rautenberg