Ein GET wird unverschluesselt uebertragen, kann daher abgehoert werden.
Waehrend der Datenteil eines POST verschluesselt uebertrage wird, https
vorausgesetzt.
Daher sollte man Logins per post uebertragen.
In einem(1) POST is vielleicht nicht so gut, dann kann die Meldung
gespeichert und neu abgespult werden. Besser in 2 POSTs, also Login &
Passwort getrennt.
Eine Frage der Sicherheit, die man erreichen moechte. Was ist auf der
Anderen Seite ? Selbstgeschrieben ? Dann hat man Moeglichkeiten, sonst
nicht, dann ist der Ansatz vorgegeben.
Falls selbstgeschrieben, kann man auch mit Challenge und Response
arbeiten, Bedeutet der Client fragt nach einem Token, einen Code,
welcher immer aendert, damit wird das Login verschluesslt, Dann
nochmals, und damit wird das Passwort verschluesselt.
Mit den Sessionnummern kann man auch noch arbeiten.
Allenfalls moechte der Client auch noch den Server authenifizieren, und
nicht einfach glauben es waer schon der Richtige.
Was soll's denn sein ?