Hallo,

Hallo, ich arbeite gerade an einem Online-Shop für einen Mandanten.
Dabei ist mir aufgefallen das man die JS-Validierung (oder was auch immer) ganz einfach außer Kraft setzten kann.

jegliches Javascript zur Validierung ist nett und benutzerfreundlich, aber immer nur die Kür zusätzlich zur Pflicht der serverseitigen Prüfung.

Beispiel:

<form action="xyz" method="post" ... onSumbit="return validateTheForm(this)">

im FireBug kann man den "onSubmit-Befehl" außer kraft setzten, und der Validierung entgehen. Das gleiche lässt sich (leider) auch bei Kreditkarten-Validierung einsetzen (JavaScript-Validierung).

Ist es eine große Lücke im FireBug oder wie soll ich das ganze verstehen?

Nein, natürlich nicht. Wenn sich eine Anwendung in Sachen Sicherheit ausschließlich auf Javascript verläßt, dann ist die Anwendung grob fehlerhaft und den Entwicklern darf Stümperei bescheinigt werden.

Alles was vom Client (Browser) kommt, sind Daten, die fehlerhaft und manipuliert sein können und serverseitig validiert werden müssen. Oft zitiert:

"All input is evil."

Freundliche Grüße

Vinzenz