Hello,

Was hindert einen Angreifer daran, einen content-modifizierenden Proxy zwischen Server und Benutzer zu hängen/programmieren? Dann kann man sowohl Login-Daten als auch sämtlichen Form-IDs abgreifen und selbstverständlich auch vorgangskorrekt wieder zurücksenden lassen.

Das ist sicher richtig, wenn der Bock in der Leitung sitzt. Hier ging es aber wohl erstmal um den Bock vor dem Client. Wenn sich jemand ein Formular herunterlädt, um dann die Vorgaben oder die Anzahl der Eingabefelder zu verändern, hilft die Vorgangsbearbeitung schon sehr gut dagegen. Die benötigt man sowieso, auch wenn man noch einen Schritt weiter geht und SSL (o.ä.) einsetzt.

Harzliche Grüße aus http://www.annerschbarrich.de

Tom