Nach einigen Jahren in der SW-Entwicklung und v.a. der Web-Entwicklung habe ich eins gelernt: den User muss man vor sich selbst schuetzen. Die groesste Angriffsflaeche bietet immer noch der User, der sich mit seinem Verhalten gefaehrdet. So eine Einstellung ist eigentlich nur fahrlaessig. Warum? Naja, irgendeinen User nervt das Verhalten. Also fragt er, was sich dagegen machen laesst. Nun antwortet ein anderer "wenn du im Profil Opera oder Firefox einstellst, passt es". Er stellt es also um und checkt nicht, dass das fuer seinen IE nicht die beste Loesung ist. Dann kommt ein ganz poehser Hacker daher und laedt ne Datei hoch, die die Session-ID und Autologin-ID klaut und an einen Rechner schickt. Der Account ist also fuer die restliche Session-Dauer kompromittierbar; wenn die Autologin-ID geklaut wurde sogar bis zum naechsten automatischen Login. Das ist dann nicht mehr so prickelnd. Und was wird der User sagen? Der Account wurde gehackt weil die Software unsicher ist.

Merke: wenn du dem User die Moeglichkeit gibst, ein Sicherheitsloch aufzumachen, kannst du dir zu 100% sicher sein, dass er es tun wird. Die derzeitige Loesung mag zwar umstaendlich sein, aber in dem Moment wo ein "Bild", das du aufrufst nicht mehr nur ein Bild ist, sondern Schadcode drin hat (der, wenn mans drauf anlegt, auch deinen Rechner kompromittieren kann), ist dieser zusaetzliche Umstand durchaus vertretbar. Da bringts auch nichts zu sagen "ach, selber Schuld wenn die den IE verwenden". Es muss fuer alle Plattformen mindestens denselben Schutz geben. Wenn dieser Schutz bei einem Browser dann redundant ist, ist das nciht negativ. Es ist ein zusaetzlicher Klick...der so manchem User das Leben bzw. den Rechner retten kann.

@Luke: content-disposition:inline sorgt fuer das Problem, deshalb wurde es auch rausgenommen. Wenn du selbst ein phpBB hast, kann ich dir das gerne zeigen

Greetz
alcaeus