✅ Musterlösung / Leitantwort
Passwörter werden ausschließlich gehasht (bcrypt mit individuellem Salt) in der Datenbank gespeichert, niemals im Klartext. Sessions werden serverseitig verwaltet, die Session-ID wird als HttpOnly-Cookie übertragen (kein Zugriff per JavaScript). Sicherheitsrisiken: Session Hijacking (Gegenmaßnahme: Session-ID nach Login neu generieren, HTTPS erzwingen), CSRF-Angriffe (Gegenmaßnahme: CSRF-Token in Formularen), Brute-Force (Gegenmaßnahme: Login-Rate-Limiting, Account-Sperrung nach X Fehlversuchen).
