Wenn Änderungen an Daten nicht erfolgen sollen, kommt man nicht darum herum, in dem serverseitigen Skript genau dann, wenn es Daten "von irgendwo da draußen" erhält, abzufragen, ob diese Daten geändert werden dürfen. Sich dabei auf irgendwelche Informationen, die "von irgendwo da draußen" kommen, zu verlassen, ist in höchstem Maße fahrlässig - merke: ALL INPUT IS EVIL!

MfG,
EKKi

Hallo EKKi,

Es ist aber doch ein rechtliches Problem. Daten ausspähen, Server hacken, Formulardaten faken, usw. sind strafrechtlich relevante Dinge. Der Kunde muß mit seinen Mitarbeitern vertraglich fixieren, was sie dürfen und was nicht.
Darüber hinaus fixiert unser Rechtssystem, was man darf und was nicht.

Als Programmierer muß (!) ich zwingend die Dinge ausschalten, die versehentlich oder grob fahrlässig vom User falsch gemacht werden können. Aber bin ich auch verpflichtet, die Dinge auszuschalten, die er vorsätzlich und in strafrechtlich relevanter Weise "falsch" macht?

Ist der Hersteller eines Autos in der Pflicht, wenn ein Autofahrer vorsätzlich in eine Menschenmenge fährt?

Interessantes Thema. Bis zu einem gewissen Grad sehe ich mich hier auch durchaus in der Pflicht, aber wo hört Sicherheitsverständnis auf und wo fängt Paranoia an?

Jedenfalls von grob fahrlässig zu sprechen, weil Formulare nahezu immer gefaked werden können, ist weit aus dem Fenster gelehnt.

Grüße, Lothar