Hallo Chris!

Doch - zum Beispiel bei AOL-Nutzern, deren Requests ueber eine Kaskade von Zwangsproxies geleitet werden.

Habe das gerade mal ergooglet. Das betrifft dort aber auch nur die Nutzer der AOL-Software. Gut, die möchte ich natürlich nicht ausgrenzen. Habe mir auf einem 2. Server gerade mal ein Sessionlog angeschaut, und nach AOL im Agenten gesucht. Da kam ich in diesem Jahr auf 560 Treffer - von 554.000 Einträgen. Das sind also knallharte 0.1%. Und auch bei denen muß es nicht zu Problemen kommen.
Laut AOL: When a member requests multiple documents for multiple URLs, each request may come from a different proxy server.

Ok, das ist trotzdem suboptimal - aber: Das Kennwort per get als Klartext oder einfachen Hash zu übertragen ist keine Alternative.

Das einzige was machbar wäre, ist ein Bindung an die aktuelle (Server-)Zeit. Ich kann natürlich das Kennwort + [hh:mm dd.mm.yy] zu einem Hash zusammenfassen, und danach in der Auswertung prüfen, ob der Hash zum Kennwort + jetzt bis jetzt -2 Minuten passt. Allerdings wäre das ein unsichererer Weg, denn in diesem Zeitfenster könnte ja jeder den Hash an des Server senden...

Wie würdest du es denn tun?

Gruß
Matthias