<div><div><div>Hey Robin,</div><div><br></div><div>at the first look that is a fix that prevents people from exploiting the mentioned, but I think it opens a few new security questions, I dont know how relevant they are but:</div>
</div></div>
<div><ul><li>XSS attacks to obtain sessionID open the chance to brute force the password offline</li><li>A man in die middle attack is even worse, because one could get an exact timestamp</li></ul><div>Why not use md5(time().user.someRand())? That would raise the possible tokens to the rand intervall and lets say for a rand within 10^5 bruteforce attacks will be impossible.</div>
<div><br></div>
</div><div>Another important thing, to prevent bruteforcing in common, is to make a log-in penality. Lets say 10 sec penalty after 3 failed logins, server-side implemented. </div><div><br></div><div>Best wishes, </div><div>
Simon</div>