Forum: Programmieren allgemein
by Flocke,
16. Aug 2005
Da hätte ich gerne eine "performante" Lösung von dir gesehen :stupid: :mrgreen:
Ist ja so ähnlich, wie ich geschrieben habe - die Challenge könnte man auch weglassen und nicht wieder mit zurückschicken. Wer aber beide "Wege" abhört, der hat die Challenge ja schon.
Womit ich noch nicht ganz glücklich bin ist, wie es danach weitergeht - also die laufende Authentifizierung, solange der...
Forum: Programmieren allgemein
by Flocke,
16. Aug 2005
Ähhh ... :gruebel: nein.
Auf dem Server speichere ich nur den MD5-Hash des Passworts, allerdings ohne Zufalls-"Salt".
Dabei geht es mir nur darum, dass nicht jemand, der zufällig über die (meine) Schulter in die Datenbank sehen kann, weiß, dass "klaus" das Kennwort "erwin" hat. Er sieht halt nur, dass der MD5-Hash des Passworts "fa126e0adce0fc4de59812b270dff77f" ist - selbst wenn er sich...
Forum: Programmieren allgemein
by Flocke,
16. Aug 2005
Zur Verdeutlichung ein Beispiel wie ich es verwende:
1. Auf dem Server sind in der Datenbank *NUR* die MD5-Hashes der Passwörter abgespeichert.
2. Beim Aufruf der Loginseite generiert der Server einen neuen Zufallsschlüssel und merkt ihn sich zusammen mit REMOTE_ADDR und der Uhrzeit in einer speziellen Tabelle. Diesen Zufallsschlüssel nenne ich jetzt mal "Challenge". Er wird auch als...
Forum: Programmieren allgemein
by Flocke,
16. Aug 2005
Wenn die PHP-Seite über http abgerufen wird (und nur das können andere Server), dann bekommt man ja nicht den Quelltext sondern das Ergebnis zu sehen. Wenn die Passwortdatei also kein "echo $password;" macht, dann passiert garnichts. Rufe deine Passwortdatei doch mal direkt im Browser auf (natürlich nicht von der Festplatte sondern über den Server), dann siehst du was passiert.
Forum: Programmieren allgemein
by Flocke,
16. Aug 2005
Die sauberste Lösung ist es, wie Mystic schon geschrieben hat, mit dem Hash des Passworts zu arbeiten.
Noch "sauberer" ist die Variante, die die Ermittlung des Hashes schon beim Client macht, da dann das Kennwort *NIE* im Klartext über's Internet geht. Eine Artikel darüber gibt's bei SelfHTML hier.