1. Ich weis grad nicht, ob Browser Passwortfelder über domaingrenzen hinweg versenden. Müsste man ausprobieren.
Warum nicht? Der Typ "password" sagt dem User-Agent nur, dass er den Inhalt nur maskiert anzeigen soll.
2. Könnte die
DP den referer prüfen.
Koennte sie - Referer-Pruefungen sind aber immer unsicher - schliesslich gibt es genug UAs die dieses Feld nicht setzen. Schliesslich ist es laut HTTP-Protokoll ein Optionaler Header.
3. Könnte eine Art securitytoken eingebaut sein, dass man ein Einloggen-Formular nur einmal verwenden kann.
Du kannst natürlich auch jedesmal die Loginseite aufrufen und mit regexen das Formular herauskramen und wieder ausgeben.. Aber das übersteigt vermutlich deinen Wissenshorizont

Richtig - nichts leichter als ein XSRF-Token auszulesen und zu verwenden.
Daniel koennte aber trotzdem einiges dagegen haben, und sei es nur deshalb weil du mit sowas Zugriff auf Klartext-Passwoerter hast (schliesslich werden die Passwoerter bei dir eingegeben), und mir fallen innerhalb von Sekunden Zig Dummheiten ein die man damit machen koennte.
Greetz
alcaeus