[PHP] Formularze, $_POST, szyfrowanie, bezpieczeństwo Opcje

[Vill]

Hej

Czy dane przesyłane przez formularz postem są szyfrowane? Czy przesyłając hasło (np. formularz do zmiany hasła) można je przesłać postem w niezmienionej formie? Czy powinno się je zaszyfrować javascriptem (np. md5) przed submitem formularza i dopiero zaszyfrowane hasło leci postem na serwer? Jak to się powinno robić?

[tzm]

Twoja uwaga jest trafna i godna przyjrzenia się sprawy bliżej aczkolwiek już na starcie generuje to kilka problemów.

Ogólnie hasła są szyfrowane dopiero po stronie serwera - przez skrypt php. W przypadku użycia javascriptu w celu szyfrowania hasła co jest moim zdaniem zasadne, co potem robić z tym hasłem? Szyfrować zaszyfrowane już hasło raz jeszcze? Może i tak. Przeszłoby to. Ale co w przypadku gdy ktoś ma wyłączony javascript? Albo w przypadku wykradnięcia hasha? Przecież można go potem podać serwerowi przez co i tak przejdzie autoryzację przez nasz system w php.

[Vill]

A co jest groźniejsze? Wykradnięcie hasła czy hasha? Z wykradniętym hashem łatwiej się włamać? Ludzie często jaką jedno hasło do wielu serwisów, więc wykradnięcie hasła w niezmienionej formie powoduje, że można się im włamać na wiele kont.

[Boshi]

Mając hasło po co ci hash? Przecież hash generowany jest na podstawie podanego hasła.

Ten post edytował Boshi 26.10.2014, 20:30:57

[by_ikar]

Podepnij certyfikat ssl pod swoją domenę i masz każde dane przesyłane w każdy sposób szyfrowane. Jest kilka firm udostępniających nawet sensowne certyfikaty za darmo.