Aloha ;)

Imho nicht 403...

Um den ging es aber konkret bei meiner Antwort, deshalb hab ich das auch ins Zitat aufgenommen.

ACK. Mein Posting versteht sich in dem Sinne auch mehr als Ergänzung denn als Gegenrede.

Mir impliziert das nichts. Für mich heisst ein 403, das genau zum aktuellen Zeitpunkt die Ressource nicht verfügbar ist, weil ich nicht die nötigen Rechte habe. Das kann sich nach einem Login durchaus ändern, ebenfalls durch eine Freischaltung o.ä.

Ich hab mir die offizielle Definition des 403 noch einmal angeschaut.

Da steht:

The 403 (Forbidden) status code indicates that the server understood
   the request but refuses to authorize it.  A server that wishes to
   make public why the request has been forbidden can describe that
   reason in the response payload (if any).

If authentication credentials were provided in the request, the
   server considers them insufficient to grant access.  The client
   SHOULD NOT automatically repeat the request with the same
   credentials.  The client MAY repeat the request with new or different
   credentials.  However, a request might be forbidden for reasons
   unrelated to the credentials.

An origin server that wishes to "hide" the current existence of a
   forbidden target resource MAY instead respond with a status code of
   404 (Not Found).

Tatsächlich hatte ich nicht ganz Recht damit, zu sagen, 403 sei von Anmeldung oder nicht unabhängig. Es ist eher so:

Fall 1) Eine Ressource ist nie freigegeben (unabhängig von der Berechtigungsstufe), ihr Aufenthaltsort / ihre Existenz darf aber bekannt sein. Dann sollte von Anfang an 403 kommen und eventuell ein Text, der den Grund des Versteckens erklärt.

Fall 2) Eine Ressource ist nie freigegeben, ihre Existenz soll nicht bekannt sein. Dann sollte von Anfang an 404 erscheinen.

Fall 3) Eine Ressource ist ab einer bestimmten Berechtigungsstufe freigegeben. Für unangemeldete Besucher sollte 401 kommen, für angemeldete Nutzer mit nicht-ausreichender Berechtigungsstufe sollte 403 kommen (eventuell mit Möglichkeit, durch andere Anmeldedaten Zugriffsberechtigung zu erhalten).

Für mich hat ein 403 nicht in einer SuMa aufzutauchen. Und exakt das habe ich in dem Post ausgesagt, den suit kommentiert hat.

In den Fällen 2 und 3 bekommt eine Suchmaschine als public user bei korrektem Einsatz nie eine 403 zu Gesicht, sondern eine 401 oder eine 404.

Bleibt noch Fall 1. Ich gebe dir Recht - es macht keinen rechten Sinn, Suchmaschinen in diesem Fall zuzulassen. Denn da steht ja dann maximal der Grund, warum die Ressource für niemanden zur Verfügung steht. Es ist tatsächlich unsinnig, so etwas per Suchmaschine listen zu lassen.

Grüße,

RIDER