Moin!

Was spricht denn dagegen, das gehashte Passwort im Cookie zu speichern?

Du kannst auch am Sonntag morgen mit 180 Sachen über die Alleen in Mecklenburg brettern. Der Effekt ist der gleiche: Du kommst in die Zeitung.

Anders gesagt: Du stellst ja auch nicht eine Kiste mit Deinem gesamten Vermögen auf die Straße, weil Du denkst, dass das Schloss sicher ist. Soll heisen: Mit dem Cookie reist der Hash um die Welt und wenn sich eines Tages - wie ausgerechnet schon seit Jahren von dem von Dir auch noch benutzen MD5 schon längst bekannt - herausstellt: "Ups! Ist knackbar!" dann ist die Kacke am dampfen.

Dann kann nämlich das eingesetzte Passwort ermittelt werden - und Dein Benutzer hat ein Problem.

Jörg Reinholz