Was meinst du genau mit POST erzwingen?

Naja. Ich hab WIRKLICH schon mal etwas wie:

http://HOSTNAME/login.cgi?user=USERNAME&PASS=GeHeim

als Resultat eines Login-Formulars in der URL-Zeile eines Browsers gesehen. Das wäre GET statt POST (außerdem Klartext). Ob die Passwörter gehasht gespeichert wurden brachte ich nicht mehr wissen wollen - denn in den Logfiles des Webservers und jedes Hotelproxys (und der URL-Zeile) standen die für quasi jeden sichtbar im Klartext…