Hallo.
Zitat von
Apollonius:
Mit anderen Worten: Das eine System lässt sich durch Datenbankzugang, das andere durch Mithören des Netzwerkverkehrs überlisten.
Ja, das ist eine allgemeine Problematik. Ich fände aber eine unsichere Datenbank schlimmer, da der Administrator Stielaugen bekommen (und ein gemeinsam verwendetes Passwort weiterverwenden) kann.
Bei meinem Fall sehe ich aber trotzdem kein Sicherheitsrisiko, da ein Hacker bei einem Ziel-PC mit meinem entwickelten Accountmanager die Logindaten sowieso mit einem Keylogger ausspähen würde. Oder alternativ die Registry auslesen, da dort der Accountmanager die Passwörter im Klartext oder Pseudo-Klartext (z.B. ROT13) speichern muss, um die 1-Klick-Logins zu gewähren. Ein Hackangriff mittels Packet-Loggern und der spezifischen manuellen Entschlüsselung mittels der dazugehörigen SessionID wäre dann ja unnötig schwer.
Gruß
blackdrake