bacon
Threadersteller
Dabei seit: 24.10.2007
Ort: -
Alter: -
Geschlecht: -
|
Verfasst Mi 06.02.2008 12:58
Titel login und die innere sischaheit |
|
|
Was ist denn gerade 'in' bei Login- und Sessionmanagementsystemen in ner normalen http-Umgebung?
Bis jetzt mach ichs so: Beim Login PW + random-challenge per Javascript als MD5-hash verschlüsseln, an den Server senden, dort mit gesp. PW + Session-Challenge vergleichen.
Bei CRUD über die verschiedenen User weiß ich allerdings nicht weiter, hier übergebe ich zwar kein Klartextpassort, aber der MD5-Hash besteht beim Transfer nur aus dem Passwort ohne Challenge (anders gehts ja nicht, da der Server das Passwort noch nicht kennt und somit kein Hash-Vergleich möglich).
Gibts da irgend welche neue Erkenntnisse in den letzten Jahren?
|
|