Lieber 1unitedpower,

Ich habe den Artikel http://wiki.selfhtml.org/wiki/PHP/Anwendung_und_Praxis/Loginsystem mit einem Verweis auf bestehende Sicherheitsmängel gelöscht.

diese Reaktion finde ich sehr harsch, zumal es nach meinem Empfinden nicht ausreichend Kommunikation im Vorfeld gab. Schöner hätte ich es gefunden, wenn Du vor der Löschung ein Ultimatum gestellt hättest, so á la "Wenn sich hier keiner mehr dazu äußert, oder wenn die Sicherheit nachweisbar(!) nicht ausreichend gewährleistet werden kann, lösche ich das Teil!"

Dass Jörg entsprechend emotional reagiert, finde ich verständlich. Dass die Kommunikationsweise gerade nicht optimal verläuft, liegt sicher an der Schärfe, mit der Du hier relativ unvermittelt(!) vorgehst, zumal es in der Versionshistorie ganz offensichtlich eine aktive Bearbeitung gibt... wie andere vor mir bereits angemerkt haben.

Vorschlag zur Güte: Könntest Du die tatsächliche Unsicherheit herausarbeiten, damit Du nicht nur "kann nicht gewährleistet werden" als Kritik anführen, sondern ganz speziell den Finger in die Wunde legen kannst, so nach dem Motto "Hier ist die Sache konzeptionell kaputt."?

Alternativ könnte ich mir ein weniger feature-haltiges Konzept als Neuauflage des Artikels vorstellen, in dem die Sache mit den Sessions, mit dem Hashing von Passwörtern und dem Umgang damit vorgestellt wird. Mehr kann das Wiki meiner Meinung nach nicht leisten, da solche komplexen Themen wie Sicherheit im Erstellen von Web-Applikationen unmöglich erschöpfend abgehandelt werden können. Alleine die neuen Erkenntnisse, die sich in diesem Zusammenhang immer wieder ergeben (das ändern der SID bei jedem Request sei nur ein nicht mehr so taufrisches Beispiel), müssen von Machern solcher Systeme durch Verfolgen der einschlägigen Web-Resourcen im Selbststudium erarbeitet werden.

Wenn Du einen 100%ig sicheren Software-Vorschlag im Wiki anbieten möchtest, dann ist ein Artikel wie der von Jörg grundsätzlich unmöglich. Das finde ich nicht praktikabel! Zwar müssen wir nicht auf dem (Sicherheits-)Niveau von Youtube-Tutorials vermitteln (z.B. mit $_POST[pass]-artiger Codequalität), aber eine Grenze des sinnvoll Machbaren darf auch nicht (all)zu hoch gehängt werden!

Liebe Grüße,

Felix Riesterer.