hi,
Der einzige Angriffspunkt ist imo der Moment des Einloggens, wenn
das Passwort per Klarnamen an das Skript geschickt wird.genau,aber wer hat schon einen server und snifft die passabfragen?
es dürfte im www in den seltensten fällen eine direkte verbindung zwischen client und server bestehen.
Die einzige Möglichkeit wäre hier SSL, oder?
ja ,nützt aber nichts denk ich,weil der browser ja bei jedem request klartext schickt,es sei denn der geschützte bereich ist
auch auf ssl basis.
es reicht doch, wenn die anmeldung SSL-gesichert erfolgt.
danach kann man den user ja ggf. über andere mechnismen (bspw. sessions) identifizieren.
(so lange es sich nicht um äußerst sensible bereiche handelt.)
gruß,
wahsaga
--
"Look, that's why there's rules, understand? So that you _think_ before you break 'em."
"Look, that's why there's rules, understand? So that you _think_ before you break 'em."