Hi Mike©,

Wir groß ist die Wahrscheinlichkeit, das der Parameter Admin=IchbinderChef ausspioniert werden kann, und jemand unbefugtes Zugriff auf die Aministration hat?

Sehr groß - da kann ich dir gleich ein kleines Beispiel erzäheln. Auf meiner Website gibt es so ein paar Sachen zum Downloaden, rein interesse halber zählen ich die Downloads in einer Downloadstatistik. Da ich es aber unhöflich finde jedem User unter die Nase zu reiben, was wie oft gedownloaded wurde und für die Seite auch sonst kein Verwaltungsbereich existiert, habe ich mich damals dafür entschieden, die Download-Zahlen einzublenden, wenn ein weiterer Parameter mit übergeben wird in der URL.

Dank Copy & Paste hatte ich den Link mit dem Parameter mal kurzzeitig in meiner Forums-Signatur hier, damit war der natürlich auch im Archiv und kurz danach in Google, sodass theoretisch die ganze Welt den Parameter kennt. Auch habe ich mal einem Freund (ebenfalls dank Copy & Paste) die „erweiterte“ URL gegeben.

Nun brauche ich mir in dem Fall keine Sorgen zu machen, weil der Parameter wirklich nicht mehr macht, als ein paar Zahlen einzublenden - aber es zeigt doch wie schnell ein Parameter gänzlich ungewollt bekannt wird. Deshalb würde ich für sämtliche Sachen, die über ein „zusätzliches Einblenden von nicht-vertraulichen Daten“ hinhausgehen _immer_ einen Login mit Benutzername und Passwort gestalten - und wenn so ein Login-System sogar bereits schon existiert, dann ist es ja ein leichtes, dieses auch für weitere Zwecke zu nutzen.

MfG, Dennis.