Hallo,

habe mir den Feature-Artikel von Ralf Mieke zum Thema MD5-Verschlüsselung von Login-daten mit Javascript angeguckt http://aktuell.de.selfhtml.org/artikel/javascript/md5/index.htm.

Wenn ich es richtig verstehe, wird dort ein verschlüsselter String, der beim Client aus dem eingegebenen Usernamen und Passwort generiert wird, an den Server geschickt. Der Server müsste dann aus dem ihm bekannten Usernamen und Passwort auf gleiche Weise einen String generieren, und diese vergleichen.

Ich frage mich, was daran sicher sein soll.

Jeder, der den verschlüsselten String "aus dem Netz fischt", kann ihn auch weiterhin dazu benutzen, sich am Server anzumelden, auch, wenn ihm Username und Passwort unbekannt sind...

Danach wäre ein solches login nicht sicherer als z.B. die Übertragung des Usernamen und Passwortes im Klartext mit POST.

Mache ich da irgendeinen Denkfehler?

Gruß

Henk