Moin!

»» Und crypt() schneidet nun mal Passworte nach 8 Zeichen ab. Und das ist MEGASCHLECHT.

Kommt aber durchaus zum Einsatz, z.b. bei .htaccess

Nur, wenn man tatsächlich gecryptete Passworte explizit will - was man nicht tun sollte. Apache kann schon seit geraumer Zeit auch MD5 und SHA, vgl. Kommandozeilenoptionen -m und -s des Tools "htpasswd".

und deine Aussage: "Die Verwendung von crypt ist in der klassischen Variante gemeingefährlich und entspricht de facto der Verwendung von Klartext" - ist nicht  zielführend, da jede Art von Verschlüsselung besser ist als keine. Jeder Versuch eine Verschlüsselung zu knacken ist strafbar.

Pfft. Erstmal: Es ist keine Verschlüsselung. Zweitens ist die Kürzung des Passwortes auf 8 relevante Zeichen gemeingefährlich gegenüber dem User. Drittens: Was interessiert den kriminellen Angreifer irgendein weiteres Gesetz, gegen das er verstößt?

»» Deshalb kriegst du die Verwendung von crypt um die Ohren gehauen, und auch deine in dem anderen Thread aufgetauchte Verschlüsselungsfunktion.

Falls du die meinst, um eine SID zu erzeugen, ich habe hier im Forum bisher noch keine andere gesehen, auch die beiden von dir erwähnten Module verwenden genau den gleichen Mechanimus, nur mit einem noch geringeren Zufall. Insofern scheint deine Kritik daran unberechtigt zu sein (wie die "ausreichend hohe Versionsnummern" ja zeigen).

Man gut, dass du so aufmerksam liest und nicht merkst, worauf sich dieser letzte Satz bezieht. Nein, von der SID ist nicht die Rede. https://forum.selfhtml.org/?t=187307&m=1244817

- Sven Rautenberg