Hallo Leute,

ich bin neulich beim Surfen über eine ältere Website gestolpert, auf der es ein Login-System gibt, das mit AJAX arbeitet.

Sämtlicher Javascript-Quelltext ist einsehbar und in einzelne Dateien ausgelagert, die entsprechend in die Unterseiten eingebunden werden. Beim Überfliegen des Quelltextes kann man auch ersehen, dass mittels Javascript einzelnen Usern Ränge und Befugnisse zugeteilt werden, z.B. mit Admin- oder Moderatorrechten. Mich würde jetzt mal interessieren, ob es zu der Zeit, in der AJAX populärer war (imho vor ca. 10-15 Jahren), auch an Sicherheitsmechanismen gedacht wurde. Könnte man nicht einfach eine Seite auf dem eigenen Rechner bauen, sich die Skriptdateien herunterladen, anpassen und einbinden und sich so z.B. Rechte zuweisen, die man eigentlich nicht haben sollte? Oder gibt es einen Mechanismus, der gewährleistet, dass eine Datei nur Zugriff haben kann, wenn sie auf dem Server liegt (so ein bisschen wie die "Same Origin Policy")?

Ich habe nicht vor, mich dort irgendwie anzumelden oder Schindluder zu treiben, finde es aber bedenklich, falls eine so offensichtliche Lücke weiter bestehen würde. Danke für eine Info 😀

Gruß Hans