Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
[Netzwelt]Gesetzentwurf "zur Bekämpfung des Rechtsextremismus und der Hasskriminalität"
Am Mittwoch vor einer Woche hat die Bundesregierung einen Gesetzentwurf "zur Bekämpfung des Rechtsextremismus und der Haßkriminalität" beschlossen. Neben härteren Strafen für bestimmte Arten von Drohungen solle es eine Pflicht für Telemedien geben, schwere Straftaten wie Gewaltdrohungen, Neonazi-Propaganda, Volksverhetzung mit Eindeutiger Kennung (IP,Port) an das BKA zu melden und zeitnah zu löschen.
Bei besonders schweren Straftaten oder "zur Abwehr einer konkreten Gefahr für Leib, Leben oder Freiheit einer Person oder für den Bestand des Bundes oder eines Landes" sollen auch evtl. vorhandene Paßwörter weitergegeben werden. Dies aber unter Richtervorbehalt, was aber heute eher nur noch eine Formsache ist.
@KaPiTN: Üblicherweise wird das Passwort auf deiner Seite lokal im Klartext eingegeben und nach dem Hashen mit dem Hash auf dem Server verglichen. Also nein, du hast kein gehashtes Passwort bei dir vorliegen. Mal davon abgesehen, dass das Hashen eines Hashes die Wahrscheinlichkeit von Kollisionen eher erhöht als verringert.
Es gibt doch einen Cookie Passwort.32 Stellen. Ich hatte mal irgendwo die Funktion gesehen, wo Passwort und user gehashet werden. MD5.
Und wenn ich die Cookies exportiere und woanders importiere, bin ich drin.
Die Vermutung hatte ich auch Deshalb habe ich bb_sessionhash vor dem Import gelöscht.
Geht dennoch. Und bb_passwort ist kein Sessions-cookie. Da steht immer der gleiche 32 stellige Wert drin.
Alles was ich zum einloggen brauche, ist die User ID, die sieht man ja im Board und den einen Hashwert.
@KaPiTN: Ah, OK, gut, stimmt, dann hast du tatsächlich dein PW gehashed. Aber das ist nicht das, was wir im Server speichern, denn dort gibts noch nen Salt, der mit deinem Hash nochmal gehashed wird.
Das kann man aber noch hier und da verfeinern und dann reicht das nicht mehr. Ich setze zum Beispiel noch einen sich ständig ändernden Cookie. Wenn der nicht passt, ists Essig mit automatischem Einloggen. Klar kann man den mitkopieren, das nutzt aber im Zweifel eines Diebstahls nur so lange, bis sich der Besitzer des Accs mit seinem PW einloggt. In dem Moment ist der gestohlene Keks wertlos.
Nachteiliger Nebeneffekt: kein Einloggen auf mehreren Geräten gleichzeitig möglich, das vorherige Gerät ist automatisch abgemeldet.
Ob das ein Nachteil ist, sei mal dahingestellt. Ich hatte vor ein paar Jahren im Feedback mal moniert, daß man eben bei einer Abmeldung nur die Sitzung, nicht den gesamten Account abmeldet, man also genau nachhalten muß, wo mal eingeloggt ist.
