Hallo Felix!
Das ist schon klar. Den Referer prüfe ich aber eigentlich immer. Damit fange ich schon mal einiges ab. Zusätzlich wird bei 3 Fehlversuchen  innerhalb 15 Minuten die IP-Adresse für 60 Minuten gesperrt.
Das das nicht "die Sicherheit" ist ist klar, aber es ist besser als gar nichts - und mir fällt nichts besseres ein.

Die wichtigere Frage ist aber, was passiert mit dem Script in https? Sind die per get übermittelten Daten (und natürlich das, was das Script zurückgibt) schon verschlüsselt, oder nicht?

Gruß
Matthias

Lieber Matthias,

In der aufgerufenen ASP-Datei prüfe ich zunächst den HTTP_REFERER, der in dem Moment ja meine http-Seite sein muß.

nö, muss er nicht (manipulier- oder deaktivierbar). Ende Deines Konzeptes.

Liebe Grüße,

Felix Riesterer.