Hi Jörg,
Du kannst auch am Sonntag morgen mit 180 Sachen über die Alleen in Mecklenburg brettern. Der Effekt ist der gleiche: Du kommst in die Zeitung.
Wenn ich im Auto sitze, bin ja auch ich es, der da sitzt und fährt. Aber das,w as ich im Cookie speichere, hat ja so mit dem eigentlichen Passwort nichts mehr zutun. Es ist quasi doppelt und dreifach gehashed. Und wenn man den Cookie richtig benennt, dann könnte eh keiner daraus schliessen, was die ganzen Werte in den Cookies zu bedeuten haben. Gut, das wäre dann wieder Security through obscurity. Aber ein doppelt, von mir aus 3 mal gehashter String? Um diese zu knacken, müsste ja erstmal festgestellt werden, wie oft ich es gehasht habe, um daraus dann das Passwort zu errechnen. Da nutzen Rainbowtable nicht viel.
Anders gesagt: Du stellst ja auch nicht eine Kiste mit Deinem gesamten Vermögen auf die Straße
Naja, viel wäre das ohnehin nicht ;)
Mit dem Cookie reist der Hash um die Welt und wenn sich eines Tages - wie ausgerechnet schon seit Jahren von dem von Dir auch noch benutzen MD5 schon längst bekannt - herausstellt: "Ups! Ist knackbar!" dann ist die Kacke am dampfen.
Meinst du, das folgende könnte geknackt werden?
password = 4a4350df2403b94a13304ee88b861041
// Im Cookie z.B.
md5( md5(password ) )
Für mich ist es ja egal, wie oft ich die Strings hashe.
Bis bald
Hosen sind Blau