hi,
Wenn man in Textfeldern Passwörter speichert (AutoVervollständigung im IE) werden diese ja vorgeschlagen sobald man auf so ein Passwortfeld klickt
_wenn_ - aber so einen unfug macht doch niemand wirklich, oder?
für passwort-eingabefelder gibt es <input type="password">
Okay, was ist wenn man nun einfach ein kleines PHP Script (+HTML- Formular) schreibt, dass diese Felder mit den entsprechenden Feldnamen enthält.
was soll dann sein?
dass man per formular eingegebene logindaten an ein serverseitges script zur überprüfung übergibt, dürfte doch eher die regel als die ausnahme sein ...?
Man könnte doch dieses Script starten und so an die Passwörter und Benutzernamen herankommen können. In PHP wird ja das als Variable eingelesen und man kann diese ja auslesen (Post, Request...).
du meinst, was wäre, wenn jemand einen browser benutzt, der logindaten speichert, und du dir dann zugriff zu diesem rechner und diesem browser verschaffst, und dein script aufrufst ...?
da würde in einem browser, der das abspeichern von passwörtern halbwegs vernünftig implementiert hat, idR. gar nichts passieren - weil der browser die passwörter natürlich abhängig von der domain oder gar der speziellen URL ablegt.
logindaten, die ich in meinem browser für http://example.com/login/loginform.htm gespeichert habe, wird dieser sicher nicht eintragen, wenn dein script _nicht_ unter der adresse http://example.com/login/loginform.htm liegt - selbst wenn es die gleichen feldnamen etc. verwenden würde.
gruß,
wahsaga
"Look, that's why there's rules, understand? So that you _think_ before you break 'em."