ich stelle mir gerade die Frage, ob es eine Sicherheitslücke darstellt, wenn man einen Captcha Code, welcher sich in der PHP Session auf dem Server befindet, per Ajax abfragt und dann per Javascript vergleicht.

Warum sollte es deiner Vermutung nach eine Sicherheitslücke sein?

Kurz zum Hintergrund, weshalb ich das überhaupt machen möchte:
Bei Eingabefeldern prüfe ich nach der Eingabe (z.B. $(".jCheckUsername").change) auf entsprechende Kriterien ab und gebe dem Anwender per Javascript Statusmeldungen aus.

Bei der Captcha Abfrage stellt sich mir jedoch die Frage der Sicherheit?

Es ist mit JavaScript/XMLHttpRequest genauso (un)sicher wie mit einem normalen Formular ohne JavaScript. - Falls deine Frage darauf abzielt. Ob das nun ein Sicherheitsproblem ist, müsstest du dir beantworten können. In beiden Fällen wird die Benutzereingabe als Klartext in einem HTTP-Request übermittelt. Wenn du Daten sicher übertragen willst, nutze SSL-Verschlüsselung. Alles andere ist gleich (un)sicher.

Wenn die Verbindung kompromittiert wird, dann interessiert den Angreifer nicht der Captcha-Code. (Wieso ist der deiner Meinung nach »geheim«?) Er wartet einfach, bis die Authentifizierung beendet ist und hijackt dann die gültige autorisierte Session.

Mathias