Moin Moin!

Dein Konzept ist extrem wackelig. Bist Du sicher, dass AJAX bei allen Benutzern funktioniert? Und hältst Du es wirklich für sinnvoll, Benutzernamen und Password per GET-Request zu übertragen? Spätestens wenn irgendjemand an Dein Access-Log herankommt, hast Du ein riesiges Problem.
Das übertragene Kennwort ist also an die aktuelle IP-Adresse gebunden.
Natürlich hätte ich es lieber über POST, aber dann muß ich weg von AJAX.

Woher kommt Dein Irrglaube, man könne bei AJAX keine POST-Requests ausführen?

Mit den Log-Dateien habe ich keine Probleme. Ist ein eigener Server. Die Protokolle gehen in einen SQL Server. Da kann ich direkt per Trigger die Query´s ausfiltern.

Und du bist sicher, dass der SQL-Server von außen nicht auslesbar ist? Wie liest Du denn Daten aus dem SQL-Server?

(Wobei der SQL-Server ja auch noch so die eine oder andere Sicherheitslücke in der Vergangenheit hatte. Ich frag mich sowieso, wozu ein DB-Server per SQL-Statement beliebige Programme ausführen oder beliebig E-Mails verschicken können muß -- als Feature, nicht als Exploit. Da ich mit dem Monster zum Glück nicht mehr arbeiten muß, bin ich in Sachen Sicherheit des SQL-Servers nicht ganz auf dem Laufenden.)

Hast Du übrigens mal nachgemessen, wie viel langsamer HTTPS gegenüber HTTP ist?
Ich muß gestehen - nein. Habe gerade mal gegoogelt. Da gehen die Meinungen etwas auseinander - zwischen "etwas langsamer" bis 1:5.

Messe es nach. Was Du in Google findest, wird mit Deinem Server mit an Sicherheit grenzender Wahrscheinlichkeit nicht übereinstimmen.

Alexander