Lieber MudGuard,

Was spricht gegen die Verwendung von https?

aus meiner Sicht ist das eine andere Baustelle. Jeder Client kann doch eine Verbindung zu der Schulwebsite aufbauen, egal ob HTTP oder HTTPS. Wenn dann Daten im Klartext gepostet werden (vorausgesetzt, man kennt das Format), dann könnte jeder "nicht authorisierte" Besucher auf der Website neue Vertretungsstunden (oder Stundenausfälle) einstellen. Um das zu verhindern, bräuchte es einen echten sessionbasierten Login-Mechanismus (sowas kann ich), der es erfordert, dass man sich am CMS anmeldet, bevor man neue Vertretungsdaten einstellt.

Nun ist es aber so, dass die Vertretungen über ein passendes Formular in einer lokal abgepseicherten HTML-Datei (mit sehr viel JavaScript) sowohl zu Papier gebracht, als auch auf die Website gestellt werden sollen. Diese Lösung erspart es mir, eine Desktop-Anwendung für irgendein Windoof zu schreiben, die sich dann auch noch mit den verschärften Netzwerkbeschränkungen des Verwaltungsnetzes herumschlagen müsste. Also nutze ich bereits vorhandene Standardsoftware (Firefox), um zu erreichen, was ich will.

Um aber nun den Login-Vorgang zu vermeiden, brauche ich einen Ersatz, der es ebenso nur einem "authorisierten Besucher" erlaubt, neue Daten einzupflegen, wie es ein Login-basierter Mechanismus erlauben könnte. Damit fielen ein paar Mausklicks und Tastatureingaben weg und die Handhabung der eigentlichen Aufgabe des Users würde etwas vereinfacht werden.

Nochmals: Statt echtem Login will ich verschlüsselte Daten schicken, deren Verschlüsselung den Login-Mechanismus ersetzen soll.

Glaubst Du wirklich HTTPS alleine wäre eine vollständige Lösung meines Problems? Aus meiner Sicht bietet es nur eine zusätzliche Schicht an Sicherheit, weil bei der Datenübertragung niemand den verschlüsselten Datensatz mitlesen kann, um an die Art der Verschlüsselung und das verwendete "Passwort" zu kommen, um nun seinerseits Daten zu POSTen.

Oder habe ich Deinen Hinweis missverstanden?

Liebe Grüße,

Felix Riesterer.