Moin!

Na in meinem Beispiel muss man eben nicht eingeloggt sein sondern kann als normaler Gast auch Nachrichten an User schicken.
Die Frage ist ja ob man Ajax abfragen sicherer gestallten kann. Mein Wissensstand bis vor 2 Stunden war eine einfache url die man mittels Javascript angefrgat hat. Die konnte man aber auch im browser oder sonst wie ansprechen.
Mir würde eventuell noch ein Timestamp einfallen, so dass Requests nur Timestamp +- 6 Stunden gültig sind. Wobei das Timestamp dann eine von einer Serversprache übergebenen wert haben muss, da sonst der Client timestamp benutzt wird hmm....

Bringt alles nix.

Diese Schnitstelle macht die Daten öffentlich, weil die uneingeloggte Öffentlichkeit auf die Seite gehen und die Daten sehen kann. Punkt.

Alle Einschränkungen hinsichtlich des Request-Systems müssen ja auch publiziert werden. Selbst wenn man sicherstellen könnte, dass nur Ajax-Requests dieser fraglichen Seite zugelassen wären, und die Information über das korrekte Zusammenstellen eines gültigen Requests nicht leicht ersichtlich wären, könnte man den Browser immer noch mit Selenium fernsteuern, dadurch User-Interaktion simulieren, und mit direktem DOM-Zugriff oder im Zweifel mit Bildschirmfotos die Daten nach und nach exportieren.

Es gibt an dieser Stelle einfach keine mögliche Sicherheit - die wurde per Designentscheidung für das Autocomplete unmöglich gemacht.

- Sven Rautenberg