War nicht aggressiv gemeint nur wenn du von einer Sicherheitslücke schreibst dann solltest auch sagen was genau.
Über den SessionHandler kann man Remote ohne Auth einen WCF als Password-Hash-Oracle (Brute-Force) verwenden. Da dies weder durch ein Captcha geschützt, noch protokolliert, noch nach x-Versuchen unterbunden wird kann dies mit einem simplen Skript ausgeführt werden. (Sogar von der gleichen IP). Besser?
Zitat(oder eben WL nochmal drauf hinweisen.
Denn hier darüber zu meckern hilft nicht sondern nur bei WL
Die lesen hier doch mit und habe ja bereits zwei mal drauf hingewiesen. Das erste mal vor glaub 18? Monaten in einer Diskussion mit Alexander Ebert bzgl. des DoppelHashings und das das der erste Hash im Cookie gespeichert wird. Den Hinweis hat er damals aber augenscheinlich nicht zur Kentniss genommen, deswegen die zweite Meldung vor 12 Monaten.
Das hier ist keine Meldung sondern nur meine persönliche Meinung, dass ich es schade finde mehr auch nicht