Hallo Dennis,

Durch Abhören der Kommunikation zwischen dem Besucher und deinem Server kann man sowohl dein System, als auch das auf SELFHTML Vorgestellte umgehen. Dem kannst du nur entgegenwirken, indem du eine SSL-verschlüsselte Verbindung (https:// statt http://) verwendest - solange du das nicht tust haben alle Loginsystem mindestens eine Schwachstelle, nämlich genau da wo Benutzername und Passwort übermittelt werden, in welcher Form auch immer das konkret geschehen mag.

Nein, bei einem korrekt implementierten Challenge-Response-Verfahren wirst Du nur bei "Live-Angriffen" (d.h. jemand schneidet die Session-ID mit und nutzt diese sofort und nicht erst ein paar Stunden später) den Zugang zum System kompromittieren - natürlich kann weiterhin mitgelesen werden, welche Daten Du transferierst, aber es gibt Fälle, in denen lediglich der bloße Zugang gesichert werden muss. Beispiel: Ein Admin-Interface eines Weblogs. Da ist es relativ egal, ob jemand nun die Beiträge schon vorab lesen kann. Wenn er aber Zugriff darauf erlangt und dann seinen Unsinn treiben kann, wird's problematisch.

Vielleicht sollte ich mal einen Artikel zu dem Thema schreiben...

Viele Grüße,
Christian