bezieht sich auf dieses Thema imArchiv

Sorry, war ne Woche lang mit einer Grippe beschäftigt...
Kann man Nachrichten aus dem Archiv nicht weiterführen? Komisch...

@Mathias:

Vergiss die IP-Adresse und generiere serverseitig Zufallszahlen (Tokens). Die schreibst du ins JavaScript und speicherst sie gleichzeitig serverseitig. Bei der Authentifizierung bildest du aus einer Zufallszahl und dem Passwort einen Hash, serverseitig prüfst du die Übereinstimmung.

Damit würde ich aber nicht das gleiche erreichen - zumindest nicht vollständig.

Der Sinn davon ist aber gering. Bei SSL besteht soweit ich weiß nur ein kleines Problem beim Senden von vertraulichen Daten im GET-Request. Die URI sollte im Browser nicht gespeichert/gecacht werden. Aber vermutlich ist es mit Hash zuverlässiger.

Der Meinung bin ich jetzt auch.

@Alexander:

Woher kommt Dein Irrglaube, man könne bei AJAX keine POST-Requests ausführen?

Das habe ich nicht gesagt. Natürlich kann ich auch POST-Requests durchführen - solange die "Same origin policy" eingehalten wird. Da ich das nicht tue (ich komme von http und will in https die Daten annehmen) hängt es da. Genau genommen ist das was ich mache ja aber auch nicht so richtig AJAX ;-). Ich rufe ja nur dynamisch eine Javascriptdatei auf dem "Remote"-Server auf der ich Parameter übergebe und etwas (ob es nun XML, JSON oder etwas ganz anderes ist) auswerte. Und da komme ich mit POST nicht weiter.

Und du bist sicher, dass der SQL-Server von außen nicht auslesbar ist? Wie liest Du denn Daten aus dem SQL-Server?

Dafür habe ich einen 2. Server. Der ist über IP-Sicherheitsrichtlinien dicht gemacht. Da ist lediglich ein Zugriff von den IP-Adressen meiner Server möglich.

Messe es nach. Was Du in Google findest, wird mit Deinem Server mit an Sicherheit grenzender Wahrscheinlichkeit nicht übereinstimmen.

Abgesehen von der Geschwindigkeit bräuchte ich dann aber auch wieder für jede Domain ein Zertifikat (für die Optik...)

Gruß
Matthias