Wie bitte? Du sollst natürlich nicht deinen Link posten, nur
draufklicken.
Nirgendwo kann der auftauchen!

Doch. Ist ein kleines Beispiel von mehreren Möglichkeiten erlaubt?

Kaum einem ist der Referrer-Parameter im HTML-Protokoll bekannt.

Der Referer wird durch den Browser erzeugt und enthält die Adresse der zuletzt besuchten Seite. Klingt nicht schlimm, oder?

Aber: Über diesen Parameter weiß der Webserver, welche Seite zuvor aufgerufen wurde.

Wenn sich CHEF oder einer der anderen inzwischen 460 User also ein einziges Mal

- in der oben geschilderten Art im Gelben anmeldet und dann
- nicht erst auf einen Link im Gelben klickt sondern z.B. eine Google-Suche macht

dann hat Google die Anmeldedaten vom Forum.

Punkt.

Oder so:
Jemand nutzt Mozilla, SeaMonkey, Opera oder einen anderen kombinierten Browser/Mailer - auch von neueren Handys aus:

- Beim Gelben anmelden.
- Ohh - neue Mail ist da
- Mail wird gelesen

dann war's das wohl schon...

Denn in den Mail sind oft Bilder, Inlines oder versteckte 1x1-Pixel drin, die automatisch nachgeladen werden. Bumms - sind die Anmeldedaten des Gelben via http per Referer verschickt an den Absender der Mail

Siehe auch http://de.wikipedia.org/wiki/Referrer

Glaub es den Fachleuten, jedes in Klartext gespeicherte oder ablesbare Passwort macht es den Hackern zum Kinderspiel.

Ciao!
SF

Was den Einbau von Nutzername und Passwort in die privaten Shortcuts angeht, kann ja jeder machen was er will. Ob das ausgespäht werden kann (z.B. weil sich eine Web-Domain nicht nur merken kann, zu welcher anderen ein Betrachter abwandert, sondern mit welchen Parametern), weiß ich nicht. Das wäre in der Tat eine kapitale Sicherheitslücke im Web (das ginge ja dann wenn's ganz dumm kommt auch mit ID und Passwort für's Online-Konto).

Zum Timeout beim Texteschreiben hier noch einen Tip:
man kann die Viertelstunde auch verlängern, indem man ab und zu die "Vorschau"-Taste drückt.

http://www.dasgelbeforum.net/login.php?username=Testuser&userpw=testpasswort

Warum?

Weil es erfahrungsgemäß nicht lange dauert, bis solche URLs auch in den
Trefferlisten bei Google und Konsorten auftauchen. Es ist nämlich nur eine
Frage der Zeit, bis solche Links den Weg in die Freiheit finden.

Wie bitte? Du sollst natürlich nicht deinen Link posten, nur draufklicken.
Nirgendwo kann der auftauchen!

http://www.dasgelbeforum.net/login.php?username=Testuser&userpw=testpasswort

Warum?

Weil es erfahrungsgemäß nicht lange dauert, bis solche URLs auch in den Trefferlisten bei Google und Konsorten auftauchen. Es ist nämlich nur eine Frage der Zeit, bis solche Links den Weg in die Freiheit finden.

Damit ist dann die Authentizität der hier registrierten User endgültig dahin...

Und das fänd' ich schade .

Mein Vorschlag: Das beste wäre, die Anmeldemöglichkeit via GET gleich wieder zu unterbinden und nur Anmeldung per POST (sprich per Formulareingabe) zu erlauben. Ist doch auch kein Mehraufwand - der Browser kann das doch auch automatisch eintragen...

Was sagt Ihr? Und v.a. CHEF?

http://www.dasgelbeforum.net/login.php?username=Testuser&userpw=testpasswort

kann sich jeder registrierte User mit seinen Anmeldedaten selber basteln und sich dann per Mausklick auf den Link hier anmelden.