sicurezza dati inviati da form

salve, esiste un modo di inviare dati da una form in maniera "sicura" ?

mi spiego: sto creando un sistema che necessita di login per l'accesso e praticamente ogni volta che carico delle pagine in questo sistema vengono inviati user e pwd: la prima volta (quando vengono immessi) in chiaro eppoi una volta effettuato il login viene rispedita con un input hidden la md5 hash di usr e pwd. domanda: esiste un metodo più sicuro di fare la cosa? mi riferisco in modo particolare al primo passaggio. gli altri, bene o male, sono sicuri...

Devi usare i cookie.

sei proprio sicuro?

Cito dal sito ufficiale di php [ http://www.php.net/manual/en/features.cookies.php ]:
It's generally considered very bad practice to store usernames and/or passwords in cookies, whether or not they're obsfucated.

Allora usa le sessioni.

sono la stessa cosa con un nome diverso... e soprattutto non risolve il problema del "primo passo" ...

I siti più importanti usano le sessioni e usano un id crittografato.

mi sai indicare del codice da studiare in merito?

Se il tuo problema è quello che la prima volta i dati vengono inviati ad un indirizzo che mostra i dati stessi, più o meno come accade all'indirizzo della pagina da cui sto scrivendo:

Codice:

---

http://forum.altervista.org/newreply.php?do=newreply&noquote=1&p=365835

---

devi semplicemente verificare che il codice del modulo sia qualcosa del genere

Codice HTML:

---

<FORM NAME="..." ACTION="..." METHOD="post">
...
</FORM>

---

In questo modo i dati non sono visibili sull'indirizzo ma allegati in un file esterno, che PHP trova automaticamente usando come variabili i nomi che hai assegnato ai campi HTML di prima.

Stammi bene...

no, nn intendevo quello... intendevo il fatto che è possibile sniffare pure le variabili post... e siccome firefox mi manda un alert dicendomi che la form invia dati in modo insicuro, volevo sapere quale era il modo sicuro di farlo... ammesso che ci sia.

Dovresti usare il protocollo https.

e come si fa? :mrgreen:

devi avere un server adatto, su av non lo puoi fare
ciao ciao

ok... ma non è che mi spiegate come si fa? ( o mi date un bel link :mrgreen: )

Una possibile soluzione al tuo problema la trovi nel sorgente di questo forum.

In pratica quando si fa il submit dell'user e pwd, prima di passare i dati al POST, vengono converiti da una funzione javascript che ne fa l'md5. Solo dopo vengono inviati col form gli hash delle due variabili.
La conversione avviene quindi in locale e non c'è mai passaggio di dati in chiaro tra client e server

mavericck

Citazione:

---

Originalmente inviato da mavericckweb

Una possibile soluzione al tuo problema la trovi nel sorgente di questo forum.

In pratica quando si fa il submit dell'user e pwd, prima di passare i dati al POST, vengono converiti da una funzione javascript che ne fa l'md5. Solo dopo vengono inviati col form gli hash delle due variabili.
La conversione avviene quindi in locale e non c'è mai passaggio di dati in chiaro tra client e server

mavericck

---

cmq qst sistema nn è sicuro lo stesso, sniffando la connessione ci si può loggare tranquillamente, basta invire gli stessi hash con un form normale ke nn fa nessuno conversione...