Hallo TS,
Besser ist immer noch der Weg über...
Wenn ich das konkretisieren darf:
- 1. Request Namen übertragen
- Response mit Rückfrage für Passwort und einem Public Key
- 2. Request: Passwort mit dem gleichen Algo hashen, den der Server verwendet, dann mit dem Public Key asymmetrisch verschlüsseln und zum Server senden. Wenn ich MDN richtig verstehe, können moderne Browser AES!
- Server verschlüsselt den gespeicherten Hash ebenfalls und vergleicht. Bei Erfolg schickt er das Session Token. Ob dieses Token mehr Sicherheit bietet als ein gut gemachter Session Cookie, kann ich nicht beurteilen.
Das Prinzip ist auch bekannt als NTLM.
Statt einem Vergleich der verschlüsselten Hashes könnte der Server auch den private Key verwenden, um das Passwortpaket zu entschlüsseln. Dafür muss der private Key auf den Server, was sonst nicht nötig wäre. Aber das böte die Möglichkeit, dass der Client das Passwortpaket noch würzt (also salzt und pfeffert).
Und wem das nicht reicht, der fahre in die Hölle...
Rolf
--
sumpsi - posui - obstruxi
sumpsi - posui - obstruxi