Hi,
ich hab ganz außer acht gelassen das es zum einen bereits eine Diskussion gab... sorry.
Zum anderen das es trotzdem relativ sinnlos ist da der login ja nur durch den hash schon
gewährt wird.
Wie V@no schon angemerkt hat würde nur ein zweites Passwort helfen.
Für die normalen User Accounts ist das ja auch nicht weiter schlimm blöde wäre es nur
wenn jemand das cookie hat und sich mit einem Admin Account anmelden kann, es
wäre ja minimum möglich über die Templates irgendwelchen Schadcode einzubauen.
Das Thema ist für mich damit abgehakt.
Sorry für den unnötigen Thread.
EDIT:
Ich leg dann doch nochmal einen nach, wie Ihr wahrscheinlich alle wisst, sind Cookies
für jede Seite verfügbar, soll heißen jede Seite kann alle Cookies lesen.
Jetzt ist da unser super sicherer Passwort Hash in MD5 der sich auch noch als solches
outet da die hash länge exakt md5 entspricht sowas sollte man verstecken in dem man
ihn wie sumale.nin schon sagte doppelt hashed aber noch besser an unbekannten
Stellen den Hash verfremden das kann dynamisch erfolgen und bei jedem anders.
Ich änder das für meine Projekte entsprechend ab aber bleibt ihr ruhig bei diesem
grob Fahrlässigem MD5.
Gruß Jens