Und habe schon gleich verschiedene Fragen...
Ich benutze den phpBB Login nun für verschiedene Logins, zB. dürfen nur User meine Bildergallerie anschauen, die sich in meinem Forum eingeloggt haben. Das hat bisher mittles "bridge" automatisch bei der Instalation z.B. der Gallerie geklappt.
Beim näheren betrachten verstehe ich aber die ganze Login-Prozedur nicht so richtig.
Wie ist das... Die Userpasswörter werden ja verschlüßelt per md5 in der DB abgelegt.. Sie werden (beim login) dann aber im Klartext vom User in das Formular eingegeben. Folglich muß irgendwo ein Vergleich stadtfinden, ob das Passwort im Klartext, dem verschlüßelten Hash entspricht.
Ist also zur Laufzeit des PHP Skripts das Passwort aus der DB im Klartext bekannt?
Wo befindet sich der Schlüßel? Ist er für jedes Passwort anders, oder gibt es ein "Master-Schlüßel" der vieleicht bei der instalation des PHP Interpreters zufällig generriert wurde und nichtmal für den Admin einsichtig ist?
Und was die Sicherheit angeht,.. könnte man, wenn man an die md5 Hashe's kommt per Brute Force den Schlüßel finden und dadurch alle Passwörter auf einen Schlag erfahren?
Indem man z.B. einen neuen User anlegt, dessen Passwort man kennt um dann mittels Klartextpasswort und verschlüßelten Passwort auf den Schlüßel zu kommen?
Mag sein, dass ich die ganze Sache komplett falsch verstehe
