hi,

1. Dienstleister ABC bietet "Datenverarbeitung" an. Kunde 1 hat dort einen Account. Die Seiten von ABC werden dynamisch erzeugt (ASP) und enthalten den Accountnamen von Kunde 1.

2. Kunde 1 ruft bei ABC eine Funktion auf, um sich Daten formatiert anzeigen zu lassen. Die Anzeige erfolgt in einem Popup und kann Daten enthalten, die Kunde 1 dort eingegeben hat, um meinen Service zu nutzen.

3. Popup führt Javascript aus, welches via 1.php von meinem Server geliefert wird. Javascript liest per opener den Accountnamen von Kunde 1 aus.

4. Javascript ruft 2.php?id=accountname auf. 2.php prüft den Accountnamen und gibt Javascript zurück, um den Service auszuführen (oder eben nicht, wenn nicht authorisiert).

Nun kommt Kunde 2 ins Spiel. Der möchte den Service auch nutzen und weiss, dass es mit dem Accountnamen von Kunde 1 möglich ist. Oder die beiden kennen sich sogar und teilen sich die Kosten oder was weiss ich ...

Nun möchte ich es verhindern bzw. möglichst schwer machen, dass unter dem Accountnamen von Kunde 2 mein Service aufgerufen werden kann, wenn der bei mir nicht registriert ist.

Gut, Kunde 2 ersetzt jetzt in seiner Seite, noch bevor er deine Funktionalität aufruft, seinen Accountnamen durch den von Kunde 1.
Das kann er z.B. mit einem popligen Bookmarklet machen, welches den Inhalt im DOM austauscht. Anschließend findet deine Funkionalität den Accountnamen von Kunde 1 vor - wie soll sie jetzt feststellen, dass daran manipuliert wurde?

Das könnte ich mir höchstens noch vorstellen, wenn der URL, unter dem Dienstleister ABC seine Datenausgabe bereitstellt, parametrisiert ist - und dein Script diesen Parameter ausliest und vergleicht.

gruß,
wahsaga