Nun, die könnten ja falsch sein. Sind diese "verklausulierte Feststellungen" aber richtig, dann ist belegt, dass die Gründe, aus denen heraus 1unitedpower das Skript als "unsicher" behauptet, unzutreffend sind. Und zwar alle.

Bevor gefragt wird, wieso denn alle unzutreffend seien:

In diesem Beitrag ist der Indianerversteher auf die drei anderen Behauptungen eingegangen und hat dargelegt:

1. dass die aussagekräftigen Fehlermeldungen beim Login nur im Debugmodus angezeigt werden

Damit hat er recht, auf die entsprechenden Code-Zeilen hat er verwiesen. Für dieses Argument habe ich nur seine Testseite konsultiert, nicht den Code.

2. dass es Sache der Serverkonfiguration ist, für eine gesicherte Übertragung zu sorgen,
3. dass es ebenfalls Sache der Serverkonfiguration ist, dafür zu sorgen, dass dem Sessioncookie die Information mitgegeben wird, dass der Browser es JavaScript nicht zur Verfügung stellen möge.

Das ist für mich ein klarer Fall von das eine zu tun ohne das andere zu lassen. Man kann diese Probleme sowohl auf Ebene der Server-Konfiguration als auch auf Ebene der Anwendung angehen. Macht man beides, verkleinert man die Angriffsoberfläche. Auf der Testseite wird keine der beiden Möglichkeiten genutzt.