Tach!

Sicherheit war noch nie eine Frage der Requestmethode!

Ich sehe keinen Nutzen darin, dass du diese Aussage wiederholst, ohne auszuführen, wie es denn besser gehen würde.

Nein, er hat schon recht, mit Sicherheit hat das nichts zu tun. Aber es ging ja auch nicht um Sicherheit. Es ging um eine best practice (Schreib-Operationen nicht via GET) und deren Grund. Da mit Sicherheit zu argumentieren ist dann halt am Thema vorbei.

Vermutlich meint er, das ein Berechtigungskonzept die notwendige Sicherheit geben soll, dass unbeabsichtigte Änderungen nicht vorgenommen werden können. Aber auch dann ist Datenändern mit GET keine gute Idee. Man kann zum Beispiel auch angemeldet Link-Checker über sein Angebot laufen lassen wollen. Oder Browser verwenden, die irgendwelches Vorab-Herunterladen betreiben. Es geht also auch darum, dass Automaten, die im Auftrag von berechtigten Nutzern unterwegs sind, möglichst keinen Schaden anrichten.

Aber abgesehen davon hätte ein Berechtigungskonzept im Falle der Anekdote im Startposting auch keine Hilfe gebracht.

dedlfix.