Hallo zusammen. Ich hätte mal eine Frage zu einer Idee von mir. Es geht um ein Loginscript auf PHP/MySQL-Basis. Ich wollte von euch wissen, wie sicher ihr das ganze findet:

• Username, Passwort und eine 32-stellige Userkennung liegen in einer Datenbank
• Vor dem Checken der Daten wird aus Username, Passwort und einem serverseitig generierten md5-Hash eine Kennung generiert (ebenfalls ein md5-Hash). Danach werden Username und Passwort auf leer gesetzt, das heißt sie werden gar nicht übertragen. Das ganze geschieht schon clientseitig und zwar mit einem Javascript. Stimmen die Daten

$usereingabe=$_POST[usereingabe];
$datenbank= md5($user).md5($passwort).md5($_POST[hash]);

if($usereingabe==$datenbank) {

dann wir ein Temp-Cookie gesetzt, das einen Timestamp enthält (für Auto-Logout) und die 32-stellige Userkennung, anhand derer der User dann getrackt werden kann.

Ich denke die Idee ist schon sicher (bestimmt ebenso sicher wie .htaccess?) aber was sagt ihr dazu? Gibts noch Lücken? SSL fällt leider flach. Auch überlege ich mir gerade eine Lösung mit 401-Headern also PHP-Auth.

bubi