Hallo,

jetzt muss ich doch noch mal nachaken:

jeder, der Zugriff auf das Gast-System hat, hat damit auch Zugriff auf das Nutzer-Profil.

Aus Sicht des Seitenbetreibers ist das doch erst mal zweitrangig. Der Nutzer muss selbst wissen, ob er diese Option wählen kann. Problematisch finde ich vielmehr, dass das Speichern der Passwort-Prüfsummen auf dem Server nutzlos wird, wenn ich im Cookie ebenfalls die Prüfsumme speichere. Dann könnte ich doch gleich die Passwörter im Klartext speichern (OK, mit dem Unterschied, dass ich das eigentliche Passwort, das vom Benutzer vielleicht auch woanders verwendet wird, nicht kenne).
Wird das Passwort dagegen als Klartext im Cookie gespeichert, habe ich als Seitenbetreiber keine Sicherheitslücke in meinem Verantwortungsbereich (auch wenn mir diese Variante trotzdem nicht so richtig gefällt).

Ale×