cloidnerux hat geschrieben:Er kann ein Script einschleusen, das die Sesion auslesen kann.
Als Nutzer anmelden könnte er sich dann aber doch auch, wenn in der Session nur ein generierter Code steht.
cloidnerux hat geschrieben:Wenn dort das PW drinn steht, kanne r sihc als der Nutzer anmelden und schaden anrichten, egal wo er ist.
Die Session verschlüsselt ja nicht die Daten in sich selbst, sondern ist nur ein von PHP generierter Code, der dem PHP-Script den Zugriff auf eine Datei auf dem Server ermöglicht. In der Session steht nichts, da kann man nichts auslesen, wenn man nicht ein PHP-Script auf dem gleichen Server ausführen kann (wenn man das kann, hat man eh keine Chance mehr).
cloidnerux hat geschrieben:Wenn das Passwort in einer Datenabnk verschlüsselt auf dem Server liegt, nutz ihm das nicht viel, denn jezt muss er es entschlüsseln.
Wenn das passwort nciht gerade "aaaaaaaa" ist, dauert das Entschlüsseln 1-60 Tage, bei einem 8 Stelligen PW.
Da man durch md5, crypt oder sontige hoffentlch cniht auf die Passwortlänge schließen kann, muss er einen Suchlauf von Passwortlänge 1 beginnen.
Bis er dann mal bei 8 Stellen ankommt, sind 100 Tage vergangen->vlg. es lohnt sich nicht.
Das Passwort liegt ja verschlüsselt auf dem Server. Ich habe es ja erst nach einer (zugegebenermaßen normalen) md5-Verschlüsselung in die Datei geschrieben, die durch die Session aufgerufen werden kann (wenn man das so ausdrückt, klingt dass nicht so, als könnte man in einer Session Daten so wie in einem Cookie speichern).
Aber ich denke diese Diskussion kann noch ewig weitergehen, da man nie alle Sicherheitsrisiken absolut ausschalten kann. ^^