Wie schon der Titel sagt, hat nickles.de eine Sicherheitslücke.
Wo die Lücke ist:
Wenn man auf "Optionen einstellen" klickt, kommt eine neue Seite in der die Adresszeile so aussieht:
http://www.nickles.de/strict/tools/options.php3?username=xxxxx&password=xxxxx
Dort steht der Benutzername und dass Kennwort! (xxxx)
Wenn man jetzt an einem öffentlichen PC ist, und einer schaut in den Verlauf, dann weis dieser jemand meinen Benutzernamen und das Kennwort!
Allgemeines 21.928 Themen, 147.299 Beiträge
Ich finde es an sich keine Übertreibung (meine persönliche Meinung), es zeigt, daß die Leute sich vermehrt Gedanken über Sicherheit machen, was in den letzten Jahren oft fehlte. Ich finde die Entwicklung begrüßenswert, erschwert es doch den "bösen Jungs" letztendlich das Handwerk.
Nur ist eben die Übermittlung der Userdaten über die URL nicht wirklich in großem Maß unsicherer, als über Cookies, höchstens die Übermittlung über Formularfelder ist ein klein wenig sicherer. Problem bleibt aber, wenn jemand an das Profil des Users kommt, dann ist es egal, ob die Daten via GET (also in der URL) oder in einem Cookie gespeichert sind, beides ist im Klartext erkennbar. Nutzt man die Auto-Vervollsäntigung für Formulardaten, dann ist auch die POST-Methode (Formularfelder) unsicher.