Thread Ist eine Session überhaupt sicher? (101 answers)
Opened by rosti at 2024-05-14 18:02

Raubtier
 2024-05-15 13:43
#196228 #196228
User since
2012-05-04
1075 Artikel
BenutzerIn
[default_avatar]
Ok, ich muss präziser sein.

Dein Vorschlag war, Hashes vom Client (gespeichert im Cookie) mit Hashes auf dem Server zu vergleichen. Das ist dumm, weil: wenn jemand den Server-Hash klaut, dann hat derjenige sofort Zugriff.

Im Backend rufst du eine Funktion verify_password(klartext, hash) auf, die dir true oder false liefert. Klar, innerhalb dieser Funktion wird aus klartext und properties(hash) ein Hash gebildet und dieser mit dem gespeicherten Hash vergleichen. Aber das hilft dir genau gar nicht, wenn du auf dem Client den Hash hast.
Last edited: 2024-05-15 13:44:49 +0200 (CEST)

View full thread Ist eine Session überhaupt sicher?