Liebe(r) scid,

Gibt es bei JavaScript diese Möglichkeit ? Hintergrund ist der, dass ich damit eine "Mann in der Mitte"-sichere Anmelde-Prozedur auch ohne Https entwickeln könnte.

Cookie-Werte werden meines Wissens immer im Http-Header übers Netz übertragen, fallen also schon mal flach.

Du hast da anscheinend etwas völlig falsch verstanden.

Wenn man eine Anmeldefunktion sinnvoll erstellt hat, dann werden per HTTP die Anmeldedaten exakt _einmal_ vom Client zum Server übertragen. Der kann dann ein Cookie anlegen, aber darin steht dann in der Regel nur ein Hash, der dem Server erlaubt, den User wiederzuerkennen. Zu diesem Hash hat der Server dann gespeichert, ob der User sich erfolgreich angemeldet hat, oder nicht.

Soetwas nennt man eine Session.

Die Session-Daten werden ausschließlich auf dem Server gespeichert und verwaltet. Solange die Session gültig ist (also bevor der User sich wieder abgemeldet hat, oder die Session-Zeit abgelaufen ist), kann sich der User als "eingelogged" auf der Seite bewegen.

JavaScript ist keine Lösung, um Anmeldefunktionalitäten zu regeln. Man kann lediglich mit JavaScript Anmeldefenster einblenden und die dort eingegebenen Daten auf dem herkömmlichen HTTP-Weg zum Server senden, um anschließend den Hash in Empfang zu nehmen. Ansonsten ist JavaScript für Dich uninteressant.

Außerdem: Wenn der Client die Annahme von Cookies verweigert, dann muss eine Alternative her. Das löst man allgemeinhin so, dass der Hash dann eben in der URL als Parameter immer "mitgeschleppt" werden muss. PHP bietet z.B. einen solchem Sessionmechanismus an. Falls Du serverseitig PHP benutzt, wäre das eine Lösung.

Liebe Grüße,

Felix Riesterer.