Es existierte kein Session-Mechanismus. Die User-ID wird in einem Hidde-Feld übertragen. Folge: mit einem kleinen selbstgebastelten Formular könnte man das Passwort für jeden User beliebig setzen.

Ok, dann hatte ich es nur falsch verstanden, da ich davon ausgegangen bin, dass eines der Passwort-Felder zur Eingabe des alten Passwortes dient, und so eine Sicherjeitsüberprüfung stattfindet.

Gruß
Carl