Hallo,

mal unabhängig von dem MD5/SHA1-Thema. Generell muss ich doch bei dem Verfahren serverseitig einen Schlüssel ausliefern, mit dem clientseitig dass Passwort (per JavaScript) verschlüsselt werden kann. Sehe ich das richtig? Und der Schlüssel muss dan serverseitig für die Identifizierung vorliegen und kann nciht mehr geändert werden. Auch richtig?

So, jetzt die eigentliche Frage: Im JS ist das Verschlüsselungsverfahren ja ermittelbar und der Schlüssel wird übertragen und kann dann ja auch abgefangen werden (men in the middle heißt das, oder?). So: Verfahren bekannt, Schlüssel abgefangen, wo liegt also die Sicherheit?

Viele Grüße
Siri