hi Kusi,
GET und POST beinhalten erst einmal das selbe Sicherheitsrisiko, nämlich die Möglichkeit, Daten an ein Programm/Script zu übergeben. Hier ist der Programmierer gefordert, die Daten auf Plausibilität und Zulässigkeit zu überprüfen. Das kannst Du überall nachlesen und dürfte hinreichen bekannt sein(z.B. letzte Meldungen über PHPBB, Coppermine, Mambo, TWiki usw. und auch Ebay und Google/Gmail).
Was Du wahrscheinlich gelesen oder gehört hast, ist das Problem, dass die mit GET übergebenen Daten in allen möglichen Logfiles erscheinen.
Was passiert jetzt, wenn solche Logfiles öffentlich zugänglich sind-
Bsp:
http://www.google.de/...i&as_sitesearch= man kann wunderbar die Programmparameter lesen und auch analysieren.
Es wird aber noch besser, diese Informationen erscheinen auch noch im Referer, d.h. alle deine externen Links bekommen dies Informationen frei Haus geliefert.
Jetzt könnte z.b. einer davon eine öffentliche Statistiki anbieten, und schwupps schon sind wir wieder in den Suchmaschinen.
Und es wird noch besser. Es gibt einige Browser(öhm, na ja IExploder oder so) die senden sogar einen Referer, wenn keiner gesendet werden soll. Wenn da z.B.
http://www.k-k.ch im Browser angezeigt wird und du tippst oben in der Adresszeile
http://www.example.com ein, dann hat
http://www.example.com den letzten Aufruf von www-k-k.ch als Referer im Logfile.
Ich glaube, das reicht an Information, mit etwas Phantasie könnte ich mir aber auch noch andere Szenarien ausdenken.
Fazit:
Immer im Hinterkopf behalten, alle GET Parameter können in Suchmaschinen auftauchen(sie sind also genau so öffentlich wie Deine URLs).
Grüße Oesi
Ich weiß, dass ich nichts weiß... (Sokrates)
[edit]
Was mir gerade noch eingefallen ist:
Es gibt auch noch Proxy-Logs von denen Du nicht einmal etwas bemerkst.