[php] PW knacken ...

[Jens Kohl]

> Das PW wird mit MD5 verschlüsselt und in einer MySQL-Datenbank
> abgespeichert. Jetzt hat mir mein Kumpel gesagt das sein Bekannter mein
> LogIn geknackt hat, weil ich schwerwiegende Fehler gemacht hätte.

Der wirds wohl erraten haben... es machen sich nicht wirklich viele Leute so
ne Mühe. Ausserdem, hat er Beweise? So komisch es klingen mag. Ansonsten
klingt's nach pupertierenden Machtkämpfchen.

> * Das Login wurde über ein Formular mit Method "POST" realisiert.

Was soll das denn? Das ist ja wohl Schwachsinn. Selbst über HTTPS macht man
das mit POST.

> * Das PW wird vor dem Speichern in der DB mit MD5 verschlüsselt.

Das bringt ihm auch nur was, wenn er vorher ansetzt.

> * LogInName und PW werden in einer Session gespeichert.

PW solltest du nicht in der Session halten.

> * LogInName und PW werden beim Bewegen in der Site immer wieder aufs
> neue auf Richtigkeit überprüft

Genau aus diesem Grund. Ich würde das so machen: Beim Login bekommst du eine
UserID und ein temp. Passwort, das kannst du dann immer auf Gültigkeit
überprüfen. Ab 4.2.0 denke ich, das man auf letzteres verzichten kann wenn
man mit register_globals = off arbeitet. Weil man dort explizit die Quelle
einer Variable ($_SESSION) vorraussetzen kann. Das soll aber nicht falsche
Sicherheit vorgaukeln. Wer wirklich will kann da heute ja so ziemlich alles
umgehen.