Warum HTML nicht "hackbar" ist HTML ist eine Auszeichnungssprache (Markup Language), keine Programmiersprache. Das ist der entscheidende Unterschied: HTML kann nichts ausführen HTML beschreibt nur die Struktur und den Inhalt einer Seite – Überschriften, Absätze, Bilder, Links. Es hat keine Logik, keine Variablen, keine Funktionen, keine Möglichkeit, Berechnungen anzustellen oder mit einem Server zu interagieren. Man kann HTML nicht "ausnutzen", weil es schlicht nichts tut, außer dem Browser zu sagen, wie er Inhalte darstellen soll. Kein Code, keine Angriffsfläche "Hacken" bedeutet im technischen Sinn meist, eine Schwachstelle in ausführbarem Code oder in einer Logik auszunutzen (z. B. durch SQL-Injection, Buffer Overflows oder unsichere Serverkonfigurationen). Da HTML nicht ausgeführt wird, sondern nur gerendert, gibt es hier schlicht keine Logik, die man manipulieren könnte. Woher kommt das Missverständnis? Oft wird "HTML hacken" umgangssprachlich verwendet, wenn Leute z. B. über die Browser-Entwicklertools den HTML-Code einer Seite temporär verändern (Inspect Element). Das ist aber kein Hacking – die Änderung ist nur lokal im eigenen Browser sichtbar und wirkt sich nicht auf die eigentliche Website oder andere Nutzer aus. Wo die eigentlichen Risiken liegen Echte Sicherheitslücken entstehen durch: - JavaScript (z. B. Cross-Site-Scripting/XSS) - Serverseitigen Code (PHP, Node.js etc.) - Datenbankanbindungen (SQL-Injection) - Fehlkonfigurierte Server oder APIs HTML selbst kann aber als "Vehikel" für solche Angriffe dienen – etwa wenn schädlicher JavaScript-Code in eine HTML-Seite eingeschleust wird (XSS). Das Problem liegt dann aber am fehlenden Schutz gegen Code-Einschleusung, nicht an HTML selbst.