Hmm ich hab mir das jetzt nochmal genau im Sniffer angeschaut und es scheint tatsächlich so zu sein wie lagalopex meint:
Der Client sendet einen Request an den Server.
Der Server sendet einen Salt, z.B. "n^hs)le"
Daraus macht der Client dann "JTIHWPRJ" und loggt sich damit ein.
Also mit so einer Technik ist sicher schonmal ausgeschlossen, dass man das Passwort im Klartext herausbekommen kann.
Ist es denn möglich nach der Anmeldung des Clients beim Server dem Server SQL Abfragen von externen Quellen (also nicht vom Client) zu schicken??? |