Sorry, weil ich erst jetzt Antworte. Ich habe diesen Post nicht weiter verfolgt, weil für mich die Sache geklärt war.

Gute Fragen hast du da Rolf!

Zur Vervollständigung, ich baue mir einen privaten Server für verschiedene Dinge, wie z.B. DB-Anbindung. Apache (Web-Server) mutz ich nur als Frontend und dabei wird das SSL-Protokoll erzwungen.

Ob man was erreichen kann mit XSS glaube ich nicht, aber dafür habe ich einen Post im anderem Forum . Was mir auffällt ist dass man eine Variable (welche mit submit abgesendet wird) manipulieren kann und ein paar Abfragen somit überspringen kann. Dies muß ich noch Adressieren!

Hacken wird schwer, ATM bin ich nur für bestimmte MAC-Adressen im LAN erreichbar. Wenn ich für die Öffentlichkeit eine zweite Domain erstellen sollte, dann über eine andere Adresse.

Ihr habt ich zum Grübeln gebracht. Ich habe mir noch nicht genug Gedanken zum Thema Authentifizieren gemacht. Passwortschutz ist via Apache aktiv, aber wo parkt man am sinnvollsten eine ID vom Benutzer hin ? Der dunkle Weg wäre übern Apache. Apache kann Cookies Verwalten, dann brauch ich nur noch die IDs aus den Cookies mit Java auslesen. Alternative wäre gleich eine Datenbank anlegen z.B. via OpenLDAP. Leider kaum gute LDAP-Anleitungen im Netz. Da ich aber gern LDAP nutzen möchte, habe ich alles noch hinten angestellt und mich nur mit der Autorisierung befasst. Noch kann ich es verkraften in der Testphase/Aufbau. Aber aus langer Sicht werde ich nicht um eine Datenbank für die Benutzerverwaltung rum kommen.