Witajcie,

planuję zrobić system logowania Ajaxem. Zastanawiam się czy przesyłanie niezaszyfrowanego hasła tą metodą jest powszechnie spotykane. Gdzieś przeczytałem, że wszystko jest w porządku, dopóki nie przesyłamy hasła z serwera do klienta. Nie jestem jednak przekonany, bo nawet w prostych narzędziach deweloperskich można podpatrzeć nagłówki wysłanych żądań.

To jak z tym jest?

a POSTa czy tym bardziej GETa, nie można podejrzeć? Jeden pies. Jedynie przy GET, ktoś może zajrzeć przez ramię i to GETa dyskredytuje. Ale przy AJAX, nikt raczej się nie loguje w miejscu publicznym z otwartym oknem konsoli.

Request ajaxowy POST z takim hasłem nie różni się niczym pod katem bezpieczeństwa od zwykłego wysłania formularza. Nie ma więc tu dodatkowych zagrożeń. Jedyna opcja zabezpieczenia takowego wysyłania (formularz post i/lub ajax) to HTTPS.