2. dass es Sache der Serverkonfiguration ist, für eine gesicherte Übertragung zu sorgen,
3. dass es ebenfalls Sache der Serverkonfiguration ist, dafür zu sorgen, dass dem Sessioncookie die Information mitgegeben wird, dass der Browser es JavaScript nicht zur Verfügung stellen möge.

Das ist für mich ein klarer Fall von das eine zu tun ohne das andere zu lassen. Man kann diese Probleme sowohl auf Ebene der Server-Konfiguration als auch auf Ebene der Anwendung angehen. Macht man beides, verkleinert man die Angriffsoberfläche. Auf der Testseite wird keine der beiden Möglichkeiten genutzt.

Wirklich? Er gibt diese URL an:

• https://home.fastix.org/Tests/ftx_login/login.php

versuche doch auch

• http://home.fastix.org/Tests/ftx_login/login.php

Das Ergebnis spricht dafür, dass er eine der beiden Möglichkeiten nutzt.Man muss sich jedenfalls ziemlich anstrengen um die Benutzerdaten unverschlüsselt zu übertragen. Auch die Session-Id wird vom Server an den Client nur via https gesendet.

Was jetzt die Nutzung von http_only für das Sessioncookie betrifft: da steht '/Tests' und der Benutzername sowie das Passwort auf der Seite mit dem Login... Würdest Du Dir dann die Mühe machen und für erweiterte Sicherheit zu sorgen?

An anderer Stelle tut er es schließlich - dem Vergleich nach nicht mal schlecht.