Benutzerkonten und das Klartextproblem bei Passwörtern

Ich bin noch unentschlossen, ob ich die Registrierung von Benutzeraccounts ohne OpenID zulassen soll. Erstens habe ich sowieso keine riesige Leserschaft und zweitens verursacht die Vorstellung unverschlüsselt Benutzernamen und Passwörter durch die Gegend zu schicken mir Bauchschmerzen. Von der Problematik des ungesicherten Logins will ich hier gar nicht erst anfangen. Vielleicht klingt mein Vorgehen überzogen, aber auf dieser privaten Seite kann ich mir den Luxus erlauben auf Nummer sicher zu gehen und weniger registrierte Nutzer zu haben.

Zudem habe ich kein eigenes Zertifikat für diese Seite. Klar könnte ich den Login über ein shared Zertifikat forcieren, nur hätte ich dann Probleme mit den Pfaden der Drupal-Installation.

Wahrscheinlich werde ich zunächst die Kommentarfunktion für Gäste freischalten und auf die geballte Kraft Mollom hoffen.

Submitted by Inte on 15. September 2008 - 18:25 in

Comments

OpenID-Übertragung

Submitted by Gast (not verified) on 17. September 2008 - 12:28.

Was genau wird denn bei Login via OpenID übertragen?
Ja nicht das Passwort selbst, aber doch ein gewisser Code, der deiner Drupal-Installation sagt: Ja, der darf hier rein mit dieser OpenID.

Könnte dieser "Code" nicht auch - genau wie das Passwort beim normalen Login - abgefangen werden? Die Übertragung vom OpenID-Provider zu dir ist ja unverschlüsselt.

Stichwort "unique identifier"

Submitted by Inte on 17. September 2008 - 13:12.

Aus diesem Grund wird beim Absetzen von GET nicht nur die Sitzungsinformation an den User Agent übertragen, sondern auch ein zufälliger Schlüssel der nur für diese eine Authentifizierung gültig ist (OpenID-Wiki - Eve takes the stage).