nicht angemeldet
Wenn die 1.php nur dazu da sein soll, einen Accountnamen aus dem HTML zu extrahieren - dann kann ich doch auch als unberechtigter Nutzer diesen Accountnamen in meinem HTML unterbringen - oder wie willst du das verhindern?
Kann er nicht, da er keinen Einfluss auf die Seite hat, wo der Accountname steht.
Seite aufrufen, "Speichern unter..." im Browser (oder aus dem Cache fischen), Accountnamen manipulieren, Javascriptaufrufe anpassen (ggf. ebenfalls lokal speichern), und neu im Browser laden.
Ist so einfach, wie nur irgendwas.
Denke bitte nicht, dass etwas nicht geht, nur weil du bislang noch nicht weißt, dass es doch geht. Ich habe so meine Erfahrungen gesammelt - und alles, was du dem User auf seinen Browser lieferst, kann und wird dieser manipulieren, wenn es der Aufwand rechtfertigt, weil dort aller Code offen und bearbeitbar ist.
Dein Problem ist, dass die Zugangsdaten über den Client gehen sollen/müssen - und damit sind sie dort auch beliebig kopier- und manipulierbar.
Es sind ja im eigentlichen Sinne keine Zugangsdaten, sondern eine Information, die aus einer HTML-Seite extrahiert wird.
Macht aber nichts, der Effekt ist der gleiche: Es gibt mal die "richtige" Information in der Seite, mal die "falsche".
- Der Benutzer fordert eine Datenanzeige an. Diese wird in einem Popup geöffnet. Der Benutzer kann durch Einstellungen Einfluss auf die Daten nehmen. U.a. kann dort HTML "injiziert" werden (ungeprüft - und damit auch Javascript).
Wäre ich dieser Dienstleister, würde ich diese Lücke schnellstmöglich schließen. Es sieht ja nicht so aus, als ob deine "Sondernutzung" wirklich beabsichtigt ist.
Du versuchst etwas zu schützen, dass auf Grund seiner quelloffenen Konzeptionierung nicht zu schützen ist.
Ich will ja auch nur versuchen, die Barriere möglichst hoch anzusetzen.
Die Barriere ist keine. Deine 2.php liefert Daten aus, wenn der Accountname stimmt.
Das bedeutet, man muß nur eine einzige Information korrekt "raten" oder "wissen", schon kommt man an deine Daten ran.
Wenn du das nicht willst, führe eine Authentifizierung ein, von der du sichergehen kannst, dass der wahre Inhaber des Accounts sie niemand Unberechtigtem weitergibt.
Und wenn das doch geschieht, dann gibt es dagegen keinerlei technischen Schutz für dich.