Salt schützt vor allem davor, dass bereits vorberechnete Rainbow-Tables verwendet werden können, was das "knacken" der Passwörter zu einer Sache von Sekunden machen würde. So müsste der Angreifer erst eine spezielle Rainbow-Table mit dem Salt aufbauen, was teuer ist. Noch besser wird es dann offensichtlich, wenn du für jeden User einen eigenen Salt verwendest. Denn dann müsste der Angreifer für jeden einzelnen Hash eine eigene Rainbow-Table aufbauen, was schlicht nicht praktikabel ist. Und ohne die Rainbow-Tables bleibt eben nur ein stupider Brute-Force-Angriff... was ebensowenig praktikabel ist.

Das Stalz schützt vorallem die Kunden, denn Viele verwenden fast überall das selbe Passwort.

Derjenige, welche jetzt die versalzenen Hashs der Passwörter besitzt, kann sich nun nicht so leicht auch in andere Systeme schleichen.
Es gibt ja leider immernoch große Webseiten, welche die Passwörter im Klartext zu speichern scheinen (irgendeine Seite hatte mir mal vor einer Weile mein Passwort zugeswchickt, als ich auf "Passwort vergessen" klickte).

Mit diesem Passwort und den anderen persönlichen Daten kann man sich nun sehr leicht die Zugriffsdaten für andere Webseiten/Systeme zusammenstellen. das Zählt dann bestimmt schon zum Social Hacking.

Was ich mich frage wie schützt man den PHP Code, sodass ihn keiner mehr lesen kann.

a) Garnicht , ist ja eine interpretierte Sprache , da gibt's nur Obfuskatoren

b) Compilieren http://en.wikipedia.org/wiki/HipHop_for_PHP

Die Funktion bleibt dennoch die Selbe.

- es wird da eventuell nur nutzloser Zusatzcode eingeschoben
- Bezeichner von Variablen und Funktionen werden wirre umbenannt
- und code wird "verschlüsselt", gepackt und zur Laufzeit wieder entpackt, entschlüsseln und per Eval ausgeführt.

Ja, so kann man den PHP-Code "erstmal" nicht mehr lesen, aber genauso, wie der Interpreter, kann man sich das auch selber zurückübersetzen.

Gegenfrage: was soll das bringen?

Dem Hacker das leben schwer machen und den eigenen Code schützen

Dann mach das, indem du deinen Server ordentlich absicherst. Ich halte es generell für eine schlechte Idee, die Symptome behandeln zu wollen (PHP-Code schützen), wenn man lieber an der Ursache ansetzen sollte bzw. muss (Einbruch in den Server verhindern).

Davon abgesehen glaube ich nicht, dass Leute, die in Server einbrechen, Interesse an irgendeinem Code haben. Die sind eher dahinter, Malware bei einem Einbruch zu hinterlegen, um möglichst viele Opfer zu erreichen. Klar, es gibt solche und solche Einbrecher. Aber in der Regel geht es doch darum, noch mehr Rechner (dann Clients) zu kapern, um die zu einem Botnetz zu machen, um damit entweder Geld zu verdienen (Botnetz "vermieten") oder es selbst zu einem Angriff auf irgendein Ziel zu benutzen.

MfG Dalai

[OT]Ist nicht ein Key-Feature der Sprache das dies das normale Ergebnis von PHP-Entwicklung ist? [/OT]

*lach* - da hab ich jetzt instinktiv den "Gefällt mir" Button gesucht....

GRL