hi,

Wenn ich der "echte" Accountinhaber bin, passiert das automatisch. Und wenn ich der falsche Accountinhaber bin, ebenso - weil ich ja die richtigen Anmeldedaten des echten Accounts kenne.

Nein - es passiert nur beim korrekten Aufruf. Weil ja die 1.php den Accountnamen aus der Seite extrahiert und and die 2.php übergibt, die dann den Code liefert.

Der unberechtigte Nutzer müsste die 2.php direkt mit dem Accountnamen des berechtigten Nutzers aufrufen und hätte zuvor nicht die 1.php aufgerufen.

Wenn ich jetzt nochmals darüber nachdenke, kann der unberechtigte natürlich zuvor zum Schein zuvor auch die 1.php aufrufen - hmmm...

Wenn die 1.php nur dazu da sein soll, einen Accountnamen aus dem HTML zu extrahieren - dann kann ich doch auch als unberechtigter Nutzer diesen Accountnamen in meinem HTML unterbringen - oder wie willst du das verhindern?

Gibt es denn keine Chance, den berechtigten Aufruf der 2.php vom unberechtigten zu unterscheiden? Mit HTTP POST wäre das einfacher, weil der Accountname nicht sichtbar wird, aber das geht nicht für das Nachladen von Javascript...

Auch POST bringt dir nichts, wenn berechtigter Nutzer Zugangsdaten an unberechtigten Nutzer weitergibt.

Dein Problem ist, dass die Zugangsdaten über den Client gehen sollen/müssen - und damit sind sie dort auch beliebig kopier- und manipulierbar.

Du versuchst etwas zu schützen, dass auf Grund seiner quelloffenen Konzeptionierung nicht zu schützen ist.

gruß,
wahsaga