Zitat von
MrKnogge:
Zitat von
urbanbruhin:
Zitat:
Ich würde nur die Passwörter als Hashes in der Ini-Datei ablegen.
...
Das ist eigentlich das sicherste !
Online dürfen passwörter sogar nur als hashes gespeichert werden .
Das ist in etwa so sicher als ob man die Passwörter als plain text reinschreibt!
Kleines Beispiel:
X will etwas im Context und somit mit den Rechten von Y machen.
X muss jetzt nur noch Y's passwort hash kopieren und irgendwo sichern. Jetzt überschreibt er ihn mit seinem Passwort hash.
Jetzt kann er sich als Y mit_seinem_ Passwort anmelden, alles ausspionieren/zersägen und danach den alten Hash wieder eintragen.
Y bekommt davon nix mit, schließlich funktioniert sein Passwort danach wie vorher. Nur ist er jetzt offiziell der Bösewicht...
Hashes sind nur dann vertrauenswürdig, wenn man verhindern kann, dass irgendeiner daran rumspielen kann.
Jeder Oracle DBA kann dir das bestätigen. Ich weiß nicht wie oft ich schon auf wievielen Systemen einen "System" user einer 3rd-Party Software "highjacked" habe um explizite Berechtigungen, private Jobs oder anderes zu bearbeiten...
Die coolste und sauberste Lösung (
IMHO), ist die die ich oben bereits genannt habe. Entweder du zerhackstückelst es richtig oder du lässt es bleiben. Hashes bringen hier rein gar nüschts.