Hi Auge,

Aber wozu zum Deibel nochmal braucht er das Passwort im Cookie, das bei jedem Request an den Server übermittelt wird?

Um ein automatisches Login zu ermöglichen, falls ein User den Browser schliesst und wieder startet. Da dachte ich mir, wenn ich das Passwort gehasht in einem Cookie speichere, ist es quasi so, als ob der User die Daten in ein Formular eingibt.

Und wenn ein User die Seite nur mit dem besagten Cookie aufruft, ohne gültige Session, könnte ich noch die IP prüfen, ob der User sich schonmal mit dieser IP eingeloggt hat. Wenn ja, kann ich mit dem Cookie eine Session starten und der User ist eingeloggt. Wenn die IP, mit der die Seite aufgerufen wird, dem User nicht zugeschrieben werden kann, wird er automatisch ausgeloggt und zum regulären Login gezwungen. Dann kann ich die neue IP speichern, und diese quasi in die Whitelist des Users aufnehmen. Beim nächsten Autologin hätte er dann keine Probleme. Natürlich nur sofern die IP sich nicht ändert.

Weißt du es oder vermutest du es,

Ich vermute.

Selbst wenn das Cookie abgefangen wird, aber nicht in Echtzeit geknackt werden kann, liegt es dann doch für einen späteren Angriff bereit. Auch wenn du das Passwort 10 mal mit Salz und Pfeffer hashst, irgendwann ist es in endlicher und überschaubarer Zeit ermittelbar.

Das ist ein Argument.

Bis bald