nman schrieb:
hustbaer schrieb:
Würde mich auch nicht wundern wenn bei den meisten Foren das Passwort sowieso im Klartext in der Datenbank stünde...
Uh. Nein. Würde mich sogar eher wundern, wenn das je üblich gewesen wäre, mag sein, dass die Qualität der Hashverfahren variiert, aber das wäre ja wohl der absolute Security-GAU.
OK, hab gerade bei phpBB nachgesehen, die verwenden wohl MD5
Was Lösungen Marke Eigenbau angeht bin ich mir allerdings immer noch ziemlich sicher dass da viele das Passwort cleartext speichern. Angesichts der miesen Passwörter die Leute verwenden allerdings auch ziemlich egal. OK, ein salted hash bringt einiges, wenn das salt ausreichend gut geheim gehalten wird.
@zwutz:
Von einer clientseitigen Hash-Methode hab ich auch noch nicht mitbekommen... was aber anhand der Manipulationsmöglichkeiten auch selten sinnvoll wäre
Naja, zumindest bin ich mal nicht der einzige der auf die Idee gekommen ist
http://krahulg.wordpress.com/2007/12/26/preparing-a-secure-login-form-with-php-javascript/
Wie auch immer, ideal wäre IMO HTTP Login + HTTPS.
Für mich ist es auf jeden Fall irgendwie erschreckend dass so wenig Seiten HTTPS Login verwenden. Oder anders rum: dass so viele Seiten cleartext Passwörter über unverschlüsselte HTTP Verbindungen schicken.
