Halihallo Daniel

»»Es hat durchaus Sinn sowas zu programmieren,
Ich will an dieser Stelle nur noch darauf hinweisen, dass das verfahren kaum sicherer ist, als die unverschlüsselte übertragung des Passwortes. Zwar kann man das Passwort als solches nicht herausfinden, aber es reicht ja, den md5-String abzufangen. Damit kann man sich dann genau so anmelden.

Full ACK. Wir müssen nur unterscheiden von wessen Sicherheit wir sprechen. Sprechen wir von der Sicherheit der Webapplikation, dann hast du recht. Sprechen wir von der Sicherheit des Kunden, zieht meine Argumentation.

Einen zusätzlichen grad an Sicherheit könnte man erreichen, wenn man noch etwas anderes mit codiert, z.B. die IP des Clients und die Uhrzeit.

Full ACK, wenn die Kodierung auf dem Server stattfindet. Wenn die Kodierung (mit Zeitstempel, IP's lassen sich mit JS bekanntlich schlecht auslesen) clientseitig realisiert ist, bringt dies nix, da der Angreifer den Algorithmus serviert bekommt und somit kein theoretisches (praktisch vielleicht schon, weil er u. U. mit JS nix anfangen kann bzw. seine Lust daran vergeht die Kodierung nachzuvollziehen) Mehr an Sicherheit darstellt.

Viele Grüsse

Philipp