Opened by rosti at 2024-05-14 18:02
User since
2012-05-04
1075 Artikel
BenutzerIn
![[default_avatar]](/battie/theme/default/default_avatar.gif)
2012-05-04
1075 Artikel
BenutzerIn
Ok, ich muss präziser sein.
Dein Vorschlag war, Hashes vom Client (gespeichert im Cookie) mit Hashes auf dem Server zu vergleichen. Das ist dumm, weil: wenn jemand den Server-Hash klaut, dann hat derjenige sofort Zugriff.
Im Backend rufst du eine Funktion verify_password(klartext, hash) auf, die dir true oder false liefert. Klar, innerhalb dieser Funktion wird aus klartext und properties(hash) ein Hash gebildet und dieser mit dem gespeicherten Hash vergleichen. Aber das hilft dir genau gar nicht, wenn du auf dem Client den Hash hast.
Last edited: 2024-05-15 13:44:49 +0200 (CEST)
Dein Vorschlag war, Hashes vom Client (gespeichert im Cookie) mit Hashes auf dem Server zu vergleichen. Das ist dumm, weil: wenn jemand den Server-Hash klaut, dann hat derjenige sofort Zugriff.
Im Backend rufst du eine Funktion verify_password(klartext, hash) auf, die dir true oder false liefert. Klar, innerhalb dieser Funktion wird aus klartext und properties(hash) ein Hash gebildet und dieser mit dem gespeicherten Hash vergleichen. Aber das hilft dir genau gar nicht, wenn du auf dem Client den Hash hast.
Last edited: 2024-05-15 13:44:49 +0200 (CEST)