Forum: Programmieren allgemein
by Delphi-Freak,
16. Aug 2005
@Flocke:
Ich würde den Salt auf keinen Fall wieder mitschicken, da der Server ihn ja gar nicht mehr verwendet. Dadurch ist es eigentlich nur ein weiteres Sicherheitsrisiko, weil die Wahrscheinlichkeit kleiner ist, dass dieser jemand auch das Login-Formular mitgelauscht hat. Deshalb würde ich es nicht mitschicken.
Sicher, es geht nicht sehr schnell, aber immerhin. Wenn damit wichtige Daten...
Forum: Programmieren allgemein
by Delphi-Freak,
16. Aug 2005
Also gut, ich gebe mich geschlagen. :mrgreen:
@Flocke:
Ja, das gefällt mir schon besser!
Da hätte ich eine andere (ähnliche) Idee:
Wenn man Challenge und Benutzername mitschickt, dann kann man ja durch ausprobieren auf den Passwort-Hash zurückschließen, von diesem dann auf das Passwort selbst.
Meine Idee also: Man überschickt nur Hash(Challenge+'*'+Hash(PW)) und den Benutzernamen; am...
Forum: Programmieren allgemein
by Delphi-Freak,
16. Aug 2005
Irgendwie ist das aber sinnwidrig.
1.Fall: Nehmen wir einmal an, die Hasherzeugung geschieht am Server. Jetzt liest irgendeiner die Datei am Server aus, wie auch immer, kann diesen Hash aber nicht an das PHP-Script schicken, da dieses den Hash nocheinmal verHASHen würde und dann wieder ein falscher herauskommen würde -> keine Authentifizierung möglich.
2.Fall: Nehmen wir nun an, der Hash...