Hallo Dennis,

wobei ich nach wie vor bei der Bedingung bleibe, dass gerade ein Login auch ohne Javascript möglich sein *muss*.

Klar, bin ich auch absolut dafür.

[RSA/PGP mit JS]

Wäre eine denkbare Möglichkeit, ja.

[SRP]
Klingt sehr interessant, ich habe es mir ebenfalls mal angesehen… verstehe es aber noch nicht so ganz ;-) Ist weiterhin noch ein Login im Klartext möglich? (Für User ohne Javascript)

Ähm, Du missverstehst mich. ;-) SRP ist genauso wie Challenge-Response ein Verfahren, des erstmal nicht für den Anwendungsfall mit JavaScript und so gedacht ist. Wenn Du auf der SRP-Seite schaust, dann geht es denen hauptsächlich um Programme wie FTP o.ä., die aktuell die Zugangsdaten im Klartext übertragen (die JavaScript-Demo dort ist nur eine Veranschaulichung der Mathematik, hat nichts mit Login zu tun).

Man-in-the-middle ist bei SRP genau dann nicht möglich (Challenge-Response genauso), wenn man darauf vertrauen kann, dass der Code von Client und Server nicht manipuliert ist. Das geht bei Javascript natürlich erstmal nicht, das ist klar, da leidet SRP unter den gleichen Problemen wie Challenge-Response. Das Verfahren selbst hat mich halt ziemlich fasziniert und ich hab auch schon ein paar Ideen was man damit nettes im HTTP-Kontext machen könnte. Daher schrieb ich auch, dass ich damit in nächster Zeit etwas rumspielen werde.

Viele Grüße,
Christian