hi,

Geht mir jetzt nur um den Login. Ich hab erst seit knapp 2 Wochen einen Vertrag mit einem "richtigen" Anbieter (all-inkl.com), wo ich neben Webspace auch volle Perl, PHP und MySql Unterstützung habe.

Wie sicher die DB ist, weiss ich nicht - ich hab mich mit dem Thema Sicherheit einfach noch nicht richtig beschäftigt.

also ich habe beides erst wird über das login.cgi script abgefragt danach wird der link angezeigt vom htaccess geschützen bereich und der user muss nochmal eingeben.
Htaccess alleine find ich nicht so sicher,da man mit diversen hackertools solche htaccess abfragen ausnutzen kann und zwar von den antworten dess jeweiligen server status 401 oder status 200,was bei einem
perl script nicht der fall ist,da weiss der client bzw. hackerprogie ja nicht was das perl auf dem server tut(request ist immer 200),wenn man es gut schreibt :)

Derzeit schreibe ich die Userpasswörter nur als Prüfsumme (MD5) in die DB, und der Login erfolgt über 16-stellige Session-IDs (maximale Dauer eine Stunde). Die SID wird in ein Cookie geschrieben, das seine Gültigkeit beim Schließen des Browsers verliert. Der User wird nur über die SID des Cookies und der Sessiondatenbank identifiziert.

mit cookies und session arbeite ich nicht -> zu kompliziert :)

Bei jedem Login eines Users wird zudem das SessionTable "aufgeräumt", d.h. alte Sessions entfernt.

naja...

Ich denke (hoffe!), das ist schon ziemlich sicher. Selbst wenn jemand die DB von außen einsehen kann, bringt ihm das nichts, weil er nur die MD5-Passwörter sieht...

ja das schon.

Der einzige Angriffspunkt ist imo der Moment des Einloggens, wenn
das Passwort per Klarnamen an das Skript geschickt wird.

genau,aber wer hat schon einen server und snifft die passabfragen?

Die einzige Möglichkeit wäre hier SSL, oder?

ja ,nützt aber nichts denk ich,weil der browser ja bei jedem request klartext schickt,es sei denn der geschützte bereich ist
auch auf ssl basis.

Was mich aber interessiert: Wie schwierig ist es, ein Passwort beim Login abzufangen? Vielleicht stell ich mir das ja völlig falsch vor. Naja, eigentlich hab ich als Nicht-Hacker überhaupt keine Vorstellung davon :)

ich denke ziehmlich schwierig oder teuer.
Gruss
Alain