szyfrowanie hasla przesylanego z formularza [ js + php ] Opcje

[grohu]

czy da sie jakos zaszyfrowac haslo ktore jest wpisywane po stronie klienta, czyli przez przegladarke, tak zeby w php mozna je bylo rozszyfrowac?
to powinno utrudnic przechwycenie takiego hasla podczas przesylania z przegladarki do serwera ze strona...
na pewno mozna sie samemu pobawic w pisanie jakis szyfrow i to moge zrobic, ale wolalbym uzyc do tego czegos co do tego sluzy.

[Grzesiek]

Jeśli dobrze Cię rozumiem to tutaj przydałoby się SSL, a nie js.
Poza tym jeżeli zaszyfrujesz hasło w js to każdy będzie mógł je rozszyfrować bo przecież javascript jest zawsze widoczny.

[grohu]

tak ale mozna to zrobic tak ,ze funkcja szyfrujaca bedzie w zakodowanym pliku , mozna do tego uzyc programu:
http://www.aw-soft.com/htmlguard-screenshot.html

i w ten sposob haslo bedzie szyfrowane po stronie przegladarki a odszyfrowywane przez php !!!

probowalem juz kodowac tym programem pliki html, i to ma sens.

[adwol]

tak ale mozna to zrobic tak ,ze funkcja szyfrujaca bedzie w zakodowanym pliku , mozna do tego uzyc programu:
http://www.aw-soft.com/htmlguard-screenshot.html

i w ten sposob haslo bedzie szyfrowane po stronie przegladarki a odszyfrowywane przez php !!!

probowalem juz kodowac tym programem pliki html, i to ma sens.

Nie ma sensu, a jeśli już to znikomy.

Używany szyfr jest bardzo prymitywny, jeśli można w ogóle nazwać go szyfrem (szyfr wymaga klucza do odszyfrowania, a tu nie trzeba niczego). Ja bym raczej nazwał to próbą zaciemnienia kodu.

Nie daj się nabrać na takie pomysły. Jeśli potrzebujesz, by Twoje hasło nie szło przez sieć otwartym tekstem to użyj SSLa albo przynajmniej jakiejś funkcji skrótu i którejś z metod bezpiecznej wymiany kluczy.

[Zepco]

tak ale mozna to zrobic tak ,ze funkcja szyfrujaca bedzie w zakodowanym pliku , mozna do tego uzyc programu:
http://www.aw-soft.com/htmlguard-screenshot.html

i w ten sposob haslo bedzie szyfrowane po stronie przegladarki a odszyfrowywane przez php !!!

probowalem juz kodowac tym programem pliki html, i to ma sens.

Nie ma najmniejszego sensu. Odkodowanie funkcji szyfrującej zajeło mi 5 min z napisanie skryptu 15.
A oto funkcje "deszyfrujące":

Kod

function aaa()

{

  document.write(w);

  o=""

};



function p(s)

{

  var q='',j,n,b,h;

  for(j=0; j<s.length;j++) {

    n=s.charAt(j);

    b=m.indexOf(n);

    if(b>-1) {

      h=((b+1)%x-1);

        if (h<=0) {

          h+=x

        }

      q+=m.charAt(h-1)

    } else {

      q+=n

    }

  }

  w+=q

}

[grohu]

to w takim razie co mi proponujecie ?
jezeli serwer nie obsluguje ssl ?

[Teodor]

tak ale mozna to zrobic tak ,ze funkcja szyfrujaca bedzie w zakodowanym pliku , mozna do tego uzyc programu:
http://www.aw-soft.com/htmlguard-screenshot.html

i w ten sposob haslo bedzie szyfrowane po stronie przegladarki a odszyfrowywane przez php !!!

probowalem juz kodowac tym programem pliki html, i to ma sens.

Nie ma najmniejszego sensu. Odkodowanie funkcji szyfrującej zajeło mi 5 min z napisanie skryptu 15.
[...]

To jest wiecej niz bez sensu - to jest nabijanie ludzi w butelke

A co do "odkodowywania" - tu nawet nie trzeba funkcji pisac wystarczy DOM Inspector z Mozilli

Pozdrawiam

[adwol]

to w takim razie co mi proponujecie ?
jezeli serwer nie obsluguje ssl ?

Proste rozwiązanie dla niewymagających:
[php:1:9629b2f60f]
<html>
<head>
<script type="text/javascript" language="JavaScript" src="md5.js"></script>
</head>
<body>
<form name="formularz" action="loguj.php" method="post">
<input type="hidden" name="seed" value="<?= $seed = md5(uniqid('', 1)) ?>">
<input type="hidden" name="haslo">
<input type="password" name="h">
<input type="submit" value="Wyślij" OnClick="document.formularz.haslo.valu
e = MD5(document.formularz.h.value + document.formularz.seed.value); document.fo
rmularz.h.value = ''">
</form>
</body>
</html>
[/php:1:9629b2f60f]

loguj.php:
[php:1:9629b2f60f]<?php
if (md5($haslo_wyciagniete_z_bazy . $seed) == $_POST['haslo']) {
# hasło poprawne
} else {
# haslo błędne
}
?>[/php:1:9629b2f60f]
Javascriptową funkcję MD5 można znaleźć w sieci albo wyciągnąć z PHPLIBa (w nim też znajduje się podobne rozwiązanie do powyższego).

To oczywiście nie zastąpi szyfrowanej transmisji i SSLa, ale jest już lepsze niż ta Twoja gmatwanina.

[grohu]

propozycja jest ciekawa (jesli wiesz gdzie mozna znalesc ta jaascriptowa wersje MD5 to napisz mi bo ja szukalem i nie znalazlem).

ale mi jest potrzebne cos innego.mi chodzi o przesylanie zaszyfrowanego hasla w js a odszyfrowanie go w php. potrzebne mi jest to do bezpieczniejszego laczenia z serwerem poczty (funkcje imap) ,nie mam dostepu do bazy z haslami serwera wiec jest to nie mozliwe.
chodzi mi raczej o mozliwosc bezpiecznego przeslania hasla z js do php , ale z mozliwoscia odszyfrowania go w php...

[adwol]

propozycja jest ciekawa (jesli wiesz gdzie mozna znalesc ta jaascriptowa wersje MD5 to napisz mi bo ja szukalem i nie znalazlem).

Pisałem przecież. W PHPLIBie

ale mi jest potrzebne cos innego.mi chodzi o przesylanie zaszyfrowanego hasla w js a odszyfrowanie go w php. potrzebne mi jest to do bezpieczniejszego laczenia z serwerem poczty (funkcje imap) ,nie mam dostepu do bazy z haslami serwera wiec jest to nie mozliwe.
chodzi mi raczej o mozliwosc bezpiecznego przeslania hasla z js do php , ale z mozliwoscia odszyfrowania go w php...

No to niestety nic z tego. Jeśli nie będziesz bazował na czymś co jest na stałe wbudowane w przeglądarkę (np. certyfikaty CA dla SSL) to takiego czegość nie osiągniesz. Dopóki do szyfrowania będziesz wykorzystywał kod który ściągniesz z serwera (JavaScript) to nawet dla szyfrów asymentrycznych jesteś narażony na atak typu MITM.

[grohu]

rozumiem.

dzieki za wyjasnienie tematu !