Ja Delphi Praxis war ja nur ein Beispiel. Ich würde dann halt mögliche Seiten ausprobieren und dann würde ich schon sehen wann es geht.
Warum sollte man so was nicht erlauben, wenn Eigentümer eines Forum oder ähnliche ist?
Ist das mit Nachteilen verbunden, wenn sich jemand über einen eigenen programmierten Client einlogt?

Rein das Einloggen bringt wie gesagt nichts. Häufig folgen weitere Funktionen, wie z.B. automatisch PNs abzufragen und ggf. abzurufen, Themen auf Beiträge zu prüfen, die Shoutbox auzuslesen, automatisiert Signaturen anzupassen mit dem aktuell laufenden Musiktitel (ok, etwas weit hergelolt vielleicht) etc. pp.
Und das auf eine Art uns Weise, die den Server stark belastet, viel Traffic verursacht o.ä.

Das sind nur ein paar Beispiele, wo so ein Tool schnell hinführen könnte.
Ob Daniel etwas gegen automatisiertes Einloggen hat, weiß ich nicht. Ich persönlich würde das nicht wollen.

Aber das solltest du mit ihm abklären.

Ja wenn ich wüsste wer Daniel ist
Aber das mit der Parameter Abfrage ist nen guter Tipp.

Aufjeden fall könnte man dann schon mal was in entsprechende Felder eintragen benutzernamen und so.
Ohne dass man sich dann einlogt.

Daniel

Das mit dem Einloggen geht prinzipiell sehr einfach. Das Login-Formular lässt sich im Quelltext kopieren und dann kannst du das auf jede Webseite machen.
Tatsächlich kann es einige Hürden gaben:
1. Ich weis grad nicht, ob Browser Passwortfelder über domaingrenzen hinweg versenden. Müsste man ausprobieren.
2. Könnte die DP den referer prüfen.
3. Könnte eine Art securitytoken eingebaut sein, dass man ein Einloggen-Formular nur einmal verwenden kann.

Du kannst natürlich auch jedesmal die Loginseite aufrufen und mit regexen das Formular herauskramen und wieder ausgeben.. Aber das übersteigt vermutlich deinen Wissenshorizont

Warum nicht? Der Typ "password" sagt dem User-Agent nur, dass er den Inhalt nur maskiert anzeigen soll.

Koennte sie - Referer-Pruefungen sind aber immer unsicher - schliesslich gibt es genug UAs die dieses Feld nicht setzen. Schliesslich ist es laut HTTP-Protokoll ein Optionaler Header.

Richtig - nichts leichter als ein XSRF-Token auszulesen und zu verwenden.

Daniel koennte aber trotzdem einiges dagegen haben, und sei es nur deshalb weil du mit sowas Zugriff auf Klartext-Passwoerter hast (schliesslich werden die Passwoerter bei dir eingegeben), und mir fallen innerhalb von Sekunden Zig Dummheiten ein die man damit machen koennte.

Greetz
alcaeus