Weitere Gedanken zu Bcrypt

Hallo zusammen Nach dem bekannt werden von dem Leak von den Passwörtern von LinkedIn und LastFM, hab ich zuerst mal meine LastFM Accounts gelöscht, wo ich mich sowieso nie eingeloggt habe. Dazu hab ich einen ganz interessanten Artikel über Heise.de gefunden, welcher ganz konkret die Vorgehensweise bei dem cracken dieser Hashes auflistet. Ich habe letztens über Verschlüsselung geschrieben und auch verschiedene Tests durchgeführt. Seit damals verwende ich überall wo es nur geht BCrypt, um genau in solchen Situationen, falls die Daten mal abhanden kommen sollten, gegen das lösen der Passwörter möglichst Resistent zu sein. Heute kam ein zusätzlicher Gedanke zu diesem Thema. Nämlich wird oft die Verschlüsselung von Webseiten gefordert, was auch Sinn macht, allerdings könnte man ja auch direkt beim Client den BCrypt hash berechnen lassen. Somit spart man selbst Ressourcen und zugleich werden Leute die den Netzwerkverkehr in einem Cafe oder anderen Öffentlichen WLan abhören das Klartext passwort nicht ersichtlich. Für BCrypt gibts bereits eine Javascript implementierung, welche sehr vielversprechend aussieht. Werde noch weiter prüfen müssen ob dies auch Sicher ist. Natürlich wäre es wünschenswerter wenn direkt der ganze Verkehr zwischen Client und Server verschlüsselt ist, wie beim neuen Webprotokoll von Google SPDY.

IE6 is finally dead

Webseiten für den IE6 zu entwickeln ist für viele Webdesigner der reinste Horror. Sachen wie Runde Ecken o.ä. werden zum reinsten Horror und lassen Auftraggeber viel Geld & Zeit kosten. Laut ie6countdown benutzen weniger als 10% der Internetbenutzer den 6er. Die meisten die ihn noch benutzen, kommen aus China. Facebook hat für IE6 Benutzer bereits den Zugang limitiert und IE7 wird ebenfalls nicht mehr die neue FB Timeline erleben. WDKK wird ab sofort den Support für IE6 & IE7 einstellen und keine Designs mehr an diese Versionen anpassen. Siehe auch: Microsoft feiert Ende des Internet Explorer 6