Hallo

… das,w as ich im Cookie speichere, hat ja so mit dem eigentlichen Passwort nichts mehr zutun. Es ist quasi doppelt und dreifach gehashed. Und wenn man den Cookie richtig benennt, dann könnte eh keiner daraus schliessen, was die ganzen Werte in den Cookies zu bedeuten haben. Gut, das wäre dann wieder Security through obscurity.

Ja, das ist es in jeglicher Hinsicht. Warum du das Passwort überhaupt an den Benutzer übermitteln willst, hast du noch nicht erklärt. Der Benutzer soll die Kennung seiner Session angepappt bekommen, damit man ihn bei weiteren Requests auf dem Server wiedererkennt. Das ist klar. Aber wozu zum Deibel nochmal braucht er das Passwort im Cookie, das bei jedem Request an den Server übermittelt wird?

Es wird unnütz in die Welt hinausposaunt und seine Speicherung ist auf Clientseite auch völlig unnütz.

Aber ein doppelt, von mir aus 3 mal gehashter String? Um diese zu knacken, müsste ja erstmal festgestellt werden, wie oft ich es gehasht habe, um daraus dann das Passwort zu errechnen. Da nutzen Rainbowtable nicht viel.

Weißt du es oder vermutest du es, zumal bei einer bekanntermaßen geknackten Methode? Selbst wenn das Cookie abgefangen wird, aber nicht in Echtzeit geknackt werden kann, liegt es dann doch für einen späteren Angriff bereit. Auch wenn du das Passwort 10 mal mit Salz und Pfeffer hashst, irgendwann ist es in endlicher und überschaubarer Zeit ermittelbar. Wohl dem deiner Benutzer, der bis dann sein Passwort geändert hat und so einen neuen Angriff nötig macht. Der hat noch ein wenig Zeit gewonnen, der Rest ist am Arsch.

Tschö, Auge