Also die Abfrage, ob der User authorisiert ist mache ich in einem PHP Skript. Das Javascript dient nur zur Abfrage, ob der User was eingegeben hat.
Die Gefahr durch das Abfangen der URL verstehe ich. Aber das direkte Aufrufen verstehe ich nicht. Denn wenn der Username dreimal nicht mit dem Kennwort übereinstimmt, dann wird der ja gesperrt. Sicherlich kann das bei einem massiven Einbruchsversuch viele gesperrte User nach sich ziehen.
Doch wie sollte ich sowas vermeiden?
Wenn ich das ganze auf POST umstelle, dann kann ein Hacker ja genauso Massenversuche zum Kennwortknacken abschicken.
