Aber dann gehört das doch in einen geschlossenen Bereich mit einem Login und entsprechenden User/Session-Handling. Die Ajax-Anfrage kann auch darauf geprüft werden, ob der User eingeloggt ist und ggf. die Auskunft verweigern.

Na in meinem Beispiel muss man eben nicht eingeloggt sein sondern kann als normaler Gast auch Nachrichten an User schicken.
Die Frage ist ja ob man Ajax abfragen sicherer gestallten kann. Mein Wissensstand bis vor 2 Stunden war eine einfache url die man mittels Javascript angefrgat hat. Die konnte man aber auch im browser oder sonst wie ansprechen.
Mir würde eventuell noch ein Timestamp einfallen, so dass Requests nur Timestamp +- 6 Stunden gültig sind. Wobei das Timestamp dann eine von einer Serversprache übergebenen wert haben muss, da sonst der Client timestamp benutzt wird hmm....

Gruß
hmm...
T-Rex