Hej

Czy dane przesyłane przez formularz postem są szyfrowane? Czy przesyłając hasło (np. formularz do zmiany hasła) można je przesłać postem w niezmienionej formie? Czy powinno się je zaszyfrować javascriptem (np. md5) przed submitem formularza i dopiero zaszyfrowane hasło leci postem na serwer? Jak to się powinno robić?

Twoja uwaga jest trafna i godna przyjrzenia się sprawy bliżej aczkolwiek już na starcie generuje to kilka problemów.

Ogólnie hasła są szyfrowane dopiero po stronie serwera - przez skrypt php. W przypadku użycia javascriptu w celu szyfrowania hasła co jest moim zdaniem zasadne, co potem robić z tym hasłem? Szyfrować zaszyfrowane już hasło raz jeszcze? Może i tak. Przeszłoby to. Ale co w przypadku gdy ktoś ma wyłączony javascript? Albo w przypadku wykradnięcia hasha? Przecież można go potem podać serwerowi przez co i tak przejdzie autoryzację przez nasz system w php.

A co jest groźniejsze? Wykradnięcie hasła czy hasha? Z wykradniętym hashem łatwiej się włamać? Ludzie często jaką jedno hasło do wielu serwisów, więc wykradnięcie hasła w niezmienionej formie powoduje, że można się im włamać na wiele kont.

Mając hasło po co ci hash? Przecież hash generowany jest na podstawie podanego hasła.

Podepnij certyfikat ssl pod swoją domenę i masz każde dane przesyłane w każdy sposób szyfrowane. Jest kilka firm udostępniających nawet sensowne certyfikaty za darmo.