Seite aufrufen, "Speichern unter..." im Browser (oder aus dem Cache fischen), Accountnamen manipulieren, Javascriptaufrufe anpassen (ggf. ebenfalls lokal speichern), und neu im Browser laden.

Ist so einfach, wie nur irgendwas.

Klar ist das einfach - funktioniert aber in dem konkreten Fall nicht.  Wäre auch viel zu aufwändig, weil die angezeigten Seiten ständig neu generiert werden.

Denke bitte nicht, dass etwas nicht geht, nur weil du bislang noch nicht weißt, dass es doch geht. Ich habe so meine Erfahrungen gesammelt - und alles, was du dem User auf seinen Browser lieferst, kann und wird dieser manipulieren, wenn es der Aufwand rechtfertigt, weil dort aller Code offen und bearbeitbar ist.

Ich habe schon verstanden, dass du mich für ziemlich naiv hältst. Du kannst aber beruhigt sein - bisher hast du mir nichts erzählt, was mir unbekannt war.
Und das richtige Stichwort hast du auch gegeben: "wenn es der Aufwand rechtfertigt,". Also muss der Aufwand möglichst hoch angesetzt werden.

Macht aber nichts, der Effekt ist der gleiche: Es gibt mal die "richtige" Information in der Seite, mal die "falsche".

Genau das funktioniert eben nicht - und daher ist zumindest die Extraktion des Accountnamens ziemlich verlässlich.

Wäre ich dieser Dienstleister, würde ich diese Lücke schnellstmöglich schließen. Es sieht ja nicht so aus, als ob deine "Sondernutzung" wirklich beabsichtigt ist.

Sie ist dem Dienstleister sogar bekannt. Gehört aber hier nicht zum Thema.

Die Barriere ist keine. Deine 2.php liefert Daten aus, wenn der Accountname stimmt.

Das bedeutet, man muß nur eine einzige Information korrekt "raten" oder "wissen", schon kommt man an deine Daten ran.

Also muss es weitere Kriterien geben, wenn man das technisch lösen will.

Es ist ja nun auch nicht so, dass der Benutzer einfach nur die 2.php mit dem "richtigen" Parameter aufrufen müsste. Er muss auch das Umfeld dafür bereitstellen, was zuvor zwei andere Routinen machen. Dies müsste er nachbilden. Natürlich nicht unmöglich, aber schon ziemlicher Aufwand.

Wenn du das nicht willst, führe eine Authentifizierung ein, von der du sichergehen kannst, dass der wahre Inhaber des Accounts sie niemand Unberechtigtem weitergibt.

Und wenn das doch geschieht, dann gibt es dagegen keinerlei technischen Schutz für dich.

Ich weiss - dagegen gibt es andere Möglichkeiten.

Ralf