Neue GUID wurde vom Server gelesen.
Gebe nun User/Passwort ein und klicke auf Submit => GUID + unverschlüsseltes Passwort wird an Server geschickt und verschlüsseltes Passwort kommt zurück
Ablauf im richtigen Leben ist:
Annahme: User/Passwort ist im Klartext auf der DB gespeichert (Alternative auch MD5 verschlüsselt als MD5(User+Password)
1. Eingabeaufforderung fragt Server nach neuer GUID, Guid wird am Server ermittelt und mit IP Adresse gespeichert => Guid wird an Login Eingabeaufforderung geschickt
2. Eingabeaufforderung schickt User + verschlüsseltes Passwort an Server (Alternativ User + MD5(User+Password)
3. Server liest das Passwort zu dem User von der DB, verschlüsselt es mit der gemerkten GUID zu der IP Adresse. Ergebnis wird mit dem übermittelten verschlüsselten Passwort verglichen
4a. Wenn Prüfung erfolgreich, nutze GUID von nun an als Session ID, markiere Eintrag als erfolgreich geprüft
4b. Wenn Prüfung nicht erfolgreich, lösche Eintrag und melde Fehler
=> Zusätzlich sollte der Server prüfen, daß zwischen (1) und (2) max 1 Minute verstrichen sein.