Thread Ist eine Session überhaupt sicher? (101 answers)
Opened by rosti at 2024-05-14 18:02

Raubtier
 2024-05-15 13:23
#196222 #196222
User since
2012-05-04
1076 Artikel
BenutzerIn
[default_avatar]
2024-05-15T11:19:59 rosti
Quote
Ein gehashtes Passwort im Cookie bringt dir doch nichts, du musst dich immer mit dem echten Passwort identifizieren, nicht mit dem Hash.


Kleiner Tipp: Auf dem Server ist das Passwort auch nicht im Klartext gespeichert sondern als Hash. Derselbe Hash wie im Cookie ;)

Und das kann mal sehr gut vergleichen.


Äh ja, aber warum hasht man denn Passwörter? Doch genau, damit du eben nichts mit dem Hash anfangen kannst, solltest du ihn doch mal zu fassen kriegen. Damit würdest du doch das gesamte Sicherheitskonzept des Hashings aushebeln. Man vergleich IMMER hashfunktion(passwort) ?= hash_value (+dass man natürlich noch salzt, damit man keine Hashtabellen nutzen kann, d.h. hashfunktion(passwort, get_salt(hash_value)) ?= hash_value - bzw. normalerweise sind da ja fertige Funktionen für da, weil ja nicht nur das Salt, sondern ggf. auch die Hash-Runden etc. benötigt werden)
Last edited: 2024-05-15 13:28:49 +0200 (CEST)

View full thread Ist eine Session überhaupt sicher?