Hallo

... denn damit ist auch aus der datenbank das passwort (z.b. bei blowfish verschlüsselung) nicht auslesbar und "sicherer" abgelegt
Aha.

ähm nicht nicht auslesbar sondern wenn auslesbar dann zumindest nicht ins klarschrift wandelbar ;-) sorry für die inkorekkte ausdrucksweise

Das gilt für md5 aber auch. Beide Systeme, crypt und md5, sind "Einwegverschlüsselungen", die, solange die Methoden nicht geknackt sind, nicht zurückwandelbare Strings ausgeben (von blowfish weiß ich nicht mehr, als dass es eine Verschlüsselungsmethode ist, kann dazu also auch nix sagen).

sessions nutze ich auch nicht. ich nutze diverse angaben (Browserid, ip,...) die mir übermittelt werden und schreibe zusätzlich mehrere cookies (wiederrum mit crypt verschlüsselt) um den benutzer eindeutig zuzuordnen.

Die Browser-ID kommt vom Benutzer und kann gefälscht sein, bei mehreren Browsern übereinstimmen ...

sicher gibt es überall probleme mit diesem system, wie auch in der ganzen it-welt

Naja, man muss sich die Lücke ja nicht wissentlich einbauen.

Tschö, Auge