[bacon]

Was ist denn gerade 'in' bei Login- und Sessionmanagementsystemen in ner normalen http-Umgebung?

Bis jetzt mach ichs so: Beim Login PW + random-challenge per Javascript als MD5-hash verschlüsseln, an den Server senden, dort mit gesp. PW + Session-Challenge vergleichen.

Bei CRUD über die verschiedenen User weiß ich allerdings nicht weiter, hier übergebe ich zwar kein Klartextpassort, aber der MD5-Hash besteht beim Transfer nur aus dem Passwort ohne Challenge (anders gehts ja nicht, da der Server das Passwort noch nicht kennt und somit kein Hash-Vergleich möglich).

Gibts da irgend welche neue Erkenntnisse in den letzten Jahren?