Aloha ;)

Danke für die Anregungen. 😀

Sind die Backticks Absicht? Oder sollte es 'kursiv' oder ''fett'' sein?

Ah, selbstverständlich. So ist das, wenn man an zu vielen Syntaxen gleichzeitig sitzt 😂 Es ist im Wiki sogar ''kursiv'' bzw. '''fett''' xD

Mir gefällt vor allem die Liste an möglichen Fehlern bei der serverseitigen Implementierung. Mit kleinen Anmerkungen:

• Punkt 3 ist eher eine Folge von Punkt 2 und kein Fehler der Implementierung.

Teils-teils. Wenn die Verbindung unverschlüsselt ist kann das Passwort immer noch clientseitig gehasht sein (in Javascript) und damit das aufs gleiche Passwort hörende E-Mail-Konto schützen - deshalb habe ich explizit darauf abgestellt in diesem Punkt. Optimalerweise wird das Passwort zweimal gehasht - einmal beim Client, bevor es dessen Einflussbereich verlässt, und einmal beim Server, zum Speichern. Über die Sinnhaftigkeit des ersten Hashen lässt sich streiten und insbesondere macht das die verschlüsselte Verbindung nicht überflüssig, aber es kann helfen, beispielsweise um noch größeren Schaden zu verhindern wenn die Verbindung irgendwie kompromittiert ist, wie im Beispiel mit dem E-Mail-Konto.

• Eine weitere Schwachstelle kann die billige Vergabe von Session-IDs sein (fortlaufende Nummer) statt einer kryptographisch gesicherten Zufallsfolge, so dass man die Session-IDs anderer Anwender erraten kann

Richtig, guter Punkt. Aus der Liste würde ich es allerdings draußen lassen, weil der Standardfall (zumindest bei Verwendung von PHP) ist, dass die Session-ID nicht manuell vergeben wird.

• Ein letzter Punkt "Diese Liste erhebt keinen Anspruch auf Vollständigkeit" würde nochmal unterstreichen, dass man hier keine Checkliste hat, die man erledigen und sich dann entspannt zurücklehnen kann.

Stimmt. Danke. Habe ich ergänzt.

Grüße,

RIDER