Wenn anzunehmen ist, dass Accountinhaber abc seine Anmeldedaten an xyz weitergibt, also auch das Passwort, kannst du eigentlich nur mit Sperren der beiden Accounts reagieren.

Ich würde dann den ursprünglich berechtigten Nutzer sperren, der für den Service bezahlt hat. Ich möchte eigentlich erreichen, dass auch der unberechtigte Nutzer für den Service bezahlt.

Eine elektronische Sicherung ist dann jedenfalls unmöglich.

Wie erwähnt, ist in der HTML-Seite eine für den Account eindeutige Kennung enthalten. Die kann der unberechtigte Benutzer nicht ändern. Er ist also eindeutig identifizierbar. Genau dieses Merkmal extrahiere ich mit der ersten Routine und gebe es dann an die zweite weiter.

Ich habe schon dafür gesorgt, dass die Routinen nicht im Cache sind und auch sofort nach Verwendung wieder gelöscht werden (im DOM). Mit dem DOM Inspector des Firefox lässt sich aber trotzdem der Aufruf der zweiten Routine unter bestimmten Bedingungen erkennen.

Zwar reicht auch das noch nicht aus, weil der unberechtigte Benutzer auch noch die ursprüngliche Aufruflogik ändern müsste, aber das wäre auf jeden Fall einfacher, als den Code selbst zu entwickeln.

Ralf