Hi Martin,

Hi Lothar,

1. Ein readonly ist eine Interaktion zwischen GUI und User und darum gehts.

aha, dann habe ich dich die ganze Zeit missverstanden.

Macht nichts. :-)

Wenn also das Zurückschicken manipulierter Daten nicht das Problem ist, könntest du auf readonly oder ähnliche Maßnahmen ja auch ganz verzichten, weil es ja egal ist, wenn Daten userseitig verändert werden.

Eben nicht. Der User soll ja bemerken, dass der Datensatz durch ihn nicht verändert werden soll. Trotz Formular. Genau hierfür ist readonly auch gedacht.

Nanu? Bisher bin ich davon ausgegangen, du wolltest dem User nur einen existierenden Datensatz mit dem "kastrierten" Formular zur Ansicht vorsetzen. Jetzt erwähnst du einen neu generierten Datensatz.  .oO(?)

Hab ich vorher schon. Im Prinzip geht es darum, einen Datensatz über ein readonly-Formular zu duplizieren. Mache ich jetzt auch im Hintegrund, ganz egal, was der User abschickt. Dann hab ich Ruh' ;-)

Nein, aber vielleicht Gedankenlosigkeit, Unaufmerksamkeit - oder aber Spieltrieb und sportlich-technischen Ehrgeiz.

Klar. Und der Mopedfahrer, der mit 180km/h über die Landstrasse fegt, ist auch nicht kriminell, sondern von "sportlich-technischen Ehrgeiz" getrieben. Genau, wie der Jugendliche, der sich ein ein Pik Set kauft, nur um mal zu sehen, wo er überall damit hinein kommt. Sportlich-technisch-ergeizig. Ich sehe es einfach viel weniger als kavaliersdelikt an. Es ist kriminell.

Liegt vielleicht daran, dass du das immer nur auf deinen konkreten Einzelfall beziehst.

Stimmt.

Die Aussage lasse ich gelten - aber du schmeißt zwei Aspekte quasi gleichwertig zusammen:

1. Die Absicht, irgendwas zu manipulieren. Das ist IMHO der Punkt, der darüber entscheidet, ob die Tat als kriminel zu werten ist oder nicht.
2. Das gewählte Mittel. Wir reden von einer Web-Applikation, Internet oder Intranet, is' wurscht, jedenfalls HTTP. Die Schnittstelle ist also der TCP-Port 80 deines Webservers. Jenseits davon hast du keinen Einfluss (außer dass du freundlicherweise auch noch ein auf HTML basierendes GUI zur Verfügung stellst).

Nein. Auch falsch. Habe ich Einfluss drauf.

Und es hat dir auch egal zu sein, solange die Daten an der Schnittstelle (also HTTP-Request und Response) deinen Vorgaben entsprechen.

Ich glaube wirklich, wir reden von verschiedenen Dingen :-))

Daher hat es einem Mail-Provider auch egal zu sein, ob ich zum Versenden und Lesen meiner Mails Thunderbird, Outlook, Lotus Notes oder nur einen Telnet-Client verwende.

Richtig. Aber Dein Chef darf Dir das schon zwingend vorschreiben, stimmts?

So, aber auch für Dich: Ich bin raus aus dem Thread, werde meine Meinung beibehalten, aber letztlich (und leider) auch die Vorgehensweise, eingehende Daten zu verifizieren, um weder versehentlich, noch bewußt Schäden zu produzieren.

Grüße, Lothar