Hallo Chris

Das ist kein Problem. Der Fallback (falls kein AJAX geht) funktioniert über POST. Das Passwort wird allerdings nur als Hash übertragen. Das alleine bringt natürlich nicht viel ;-), darum habe ich da folgendes Konzept.
Beim Ausführen der Abfrage ermittle ich zuerst die Client-IP-Adresse. Dann nehme ich das Kennwort + die IP und bilde daraus einen MD5. Den übertrage ich an den Server.

Das setzt also wieder mindestens JavaScript voraus.

Richtig, aber das stellt ja kein Problem dar. Wenn kein Javascript aktiviert ist greift der Fallback über Post. Und da sende ich das Passwort - notgedrungen - in Klartext (naja, über https :-)).

Das übertragene Kennwort ist also an die aktuelle IP-Adresse gebunden.

Das ist auch bloedsinnig - die kann von Request zu Request unterschiedlich sein.

Da die Abfrage der IP erst nach dem klicken auf den Senden-Button ausgeführt wird ist die Zeitdifferenz zwischen den beiden Requests sehr kurz. Natürlich schließt das die Möglichkeit nicht aus, dass die IP-Adresse genau in dieser Millisekunde wechselt - aber das wird mit an Sicherheit grenzender Wahrscheinlichkeit selten bis nie auftreten.

Ich möchte nur eine möglichst sichere Lösung erstellen, die auf den üblichen Browsern funktioniert.
Das schönste wäre natürlich ein Post über AJAX und ein normaler Formular-Fallback. Aber da spielt die same origin policy ja nicht mit.

Es will mir auch nicht klar werden, warum Protokoll- und Portänderungen dabei verboten sind. Wäre nur ein wechsel der Domain verboten wäre es meiner Meinung nach nicht wirklich unsicherer - dafür aber um vieles einfacher einzusetzen. Naja, leider ist es aber so...

Gruß
Matthias