Hallo,

Nur, darum ging es in diesem Thread nie. Änderung der Daten war ohnehin ausgeschlossen, ...

offensichtlich nicht: Wenn es so wäre, hättest du weder disabled noch readonly gebraucht - dann wäre es nämlich egal gewesen, wenn der User Formulardaten ändert und wieder absendet (egal ob mutwillig oder versehentlich). Offensichtlich war die Änderung der Daten aber *NICHT* ausgeschlossen, und deshalb hast du nach Maßnahmen gesucht, um eben das zu erreichen.

Es geht um die Einstellung zu diesem Thema.

Richtig, und die Einstellung ist nun einmal, dass man sich nicht auf die Ehrlichkeit seiner Mitmenschen (Kunden, Kollegen, Lieferanten) verlassen darf. Tut man es doch, wird einem das als "fahrlässig" vorgeworfen, wenn dadurch ein Sach-/Vermögens- oder gar Personenschaden entsteht.

Wie krank ist die Denkweise hier?
Es gelingt mir doch in 1000 anderen Bereichen auch, funktionierende Systeme zu zerstören oder "zu überlisten". Und auch da wird nicht zwingend die (Mit)schuld beim Hersteller gesucht.

Oh doch: Das nennt sich Produkthaftung. In der Technik gibt es, wenn es um die Sicherheit von Einrichtungen geht, sogar den Begriff der "vorhersehbaren Fehlanwendung". Beispiel: Ein kleiner Unterschrank ist nicht dazu gedacht, dass jemand draufsteigt. Die Versuchung ist aber groß, das Teil als "Leiter-Ersatz" zu verwenden. Tut das jemand, und bricht das Schränkchen dabei entzwei, und verletzt sich gar derjenige, der das Teil missbraucht hat, ist der Hersteller mit in der Haftung. Aber sowas von!

Mein Problem hierbei ist: Ich setze genau gem. dieser kranken Denkweise um. Aber mir stinkt sie, diese Art zu denken.

Das wird dir aber nichts nützen.

Mir persönlich sind unzählige Fälle bekannt, wo sich Entscheidungsträger sich hinter irgendwelchen "Vorschriften" verschanzen und diese für ihre Entsheidungen anführen. Diese werden dadurch nicht zwingend richtig.

Das ist nur allzu wahr ...

Das ist - insbesondere im Fall des Internets - das Mindestmaß an Sorgfalt, das man als Programmierer beachten muss.
Ich mache keine Internetanwendung.

Erstens schrieb EKKi "insbesondere im Fall des Internets", also nicht ausschließlich; zweitens sind die verwendeten Techniken im Inter- oder Intranet die gleichen: Eine Client/Server-Kommunikation über HTTP, und ein Server, der irgendeine HTTP-Anfrage erhält, die er zunächst völlig kontextfrei betrachten und analysieren muss.

[...] und verlasse mich darauf, dass andere sich an die Gesetze halten.

Und genau das ist leichtsinnig oder fahrlässig. Irgendjemand hat's in diesem Thread schon angedeutet: Das unbefugte Eindringen in fremde Wohnungen ist auch gesetzwidrig. Lässt du also die Wohnungstür offen, weil's bequemer und einfacher ist?[*]

Aber ich finde es, im Gegensatz zu Dir und anderen, nicht in Ordnung, dass ich unter Beweisnot geraten soll, wenn ich meinen Usern zu wenig kriminelle Energie (und wir reden hier tatsächlich von Kriminalität und nicht von Kavaliersdelikten!) unterstelle.

Wir reden nicht automatisch von Kriminalität!
Ein Datenpaket zusammenzustellen und per HTTP-POST an einen Webserver zu schicken, ist an sich noch nicht kriminell. Was jemand damit erreichen will, *kann* kriminell sein; der Vorgang an sich ist es definitiv nicht. Der könnte nämlich sogar durch Fehlfunktionen oder Fehlkonfiguration irgendeiner Software ausgelöst werden - und dann wären wir wieder bei der Pflicht, die Plausibilität und Zulässigkeit der eintreffenden Anforderung zu überprüfen.

Schönen Tag noch,
 Martin

[*] Die oft gesehene Gepflogenheit, den Hausschlüssel im Geranientopf oder unter der Fußmatte zu deponieren, kommt eigentlich auch einer einladend geöffneten Tür gleich.