Halihallo Tom

ich dachte immer, dass md5() so unsicher wäre? Nimmt ja nicht alle Bits. Wie funktioniert denn da der gute alte crypt-Befehl?

letzterer mit TripleDES; ersterer mit md5-checksum :-)
Klar, mit md5 wird jeder String in einen "Wertebereich" mit 2^32 Möglichkeiten abgebildet; anders crypt, dort ist der Wertebereich genausogross, wie der Definitionsbereich (also die Menge aller unkodierten Passwörter). Aber unsicher ist das net umbedingt. Klar, bei Buteforce-Attacken müssten nicht mehr so viele Möglichkeiten abgesucht werden, da man durchschnittlich bei der 2^31 Abfrage fündig wird, aber überleg mal, wielange das im Internet dauert??? - PS: Bei der Authentifizierung beim POP-Account (Mails lesen), gibt's auch die Möglichkeit über Digest-MD5. Dies hat den alleinigen Sinn, dass das Passwort nicht im Klartext übertragen wird.

Außerdem könnte man sich auch einen eigenen Algo ausdenken, der dann bestimmt auch nicht unsicherer wäre.

Möglich.

Sollte man aus den Seiten nicht shttp-Seiten machen?

Hm. Ist natürlich immer gut, aber wenn das Einloggen nicht sicher ist, bringt auch die shttp Seite nix.

Viele Grüsse

Philipp