Hi,

• Username, Passwort und eine 32-stellige Userkennung liegen in einer Datenbank
• Vor dem Checken der Daten wird aus Username, Passwort und einem serverseitig generierten md5-Hash eine Kennung generiert (ebenfalls ein md5-Hash). Danach werden Username und Passwort auf leer gesetzt, das heißt sie werden gar nicht übertragen. Das ganze geschieht schon clientseitig und zwar mit einem Javascript.

Das heißt, daß derjenige, der die Leitung abhorcht, Username und Paßwort nicht mitkriegt. Aber die braucht er ja auch gar nicht, denn zum Login reicht ihm ja der md5-Hash, den er bequem abhören kann.
==> Viel Lärm (md5-Hash-Erzeugung) um nichts.

cu,
Andreas