Auch Moin!

Wie wärs mit md5(md5($pass))? halt doppelt gemoppelt, dann sind doch alle glücklich, oder? D.h. ich "verschlüssele" immer schon beim Client, und vergleiche dann die MD5 Summe der MD5 Summe des eingegebenen Passworts mit der MD5 Summe der MD5 Summe in der Tabelle. Der Unterschied wäre derselbe wie bei http basic-auth zu digest-auth, Sicherheitsgewinn ist es nicht wirklich, macht aber die Bedienung für einen der das übertragene Passwort erspäht hat unpraktischer.

Eben: Sicherheitsgewinn ist es nicht wirklich. Der Sicherheitsgewinn zwischen basic-auth und digest-auth ist ja immerhin noch ein geringer, weil das Passwort, welches den Zugang gewährt, nicht im Klartext über die Leitung geht.

Aehm... ihr redet hier ueber digest-auth, wie wenn dabei einfach der MD5-Hash eines Passwortes uebertragen werden wuerde. Das ist aber nicht so. Der MD5-Hash wird bei digest-auth ueber mehrere verschiedene Sachen gebildet, die sich bei jedem HTTP-Request aendern. Deswegen kann man den Hash *nicht* wiederverwenden; es nuetzt also nichts, einen abzufangen. Siehe RFC 2617.

So long