sicurezza dati inviati da form

[express]

salve, esiste un modo di inviare dati da una form in maniera "sicura" ?

mi spiego: sto creando un sistema che necessita di login per l'accesso e praticamente ogni volta che carico delle pagine in questo sistema vengono inviati user e pwd: la prima volta (quando vengono immessi) in chiaro eppoi una volta effettuato il login viene rispedita con un input hidden la md5 hash di usr e pwd. domanda: esiste un metodo più sicuro di fare la cosa? mi riferisco in modo particolare al primo passaggio. gli altri, bene o male, sono sicuri...

[funcool]

Devi usare i cookie.

[express]

sei proprio sicuro?

Cito dal sito ufficiale di php [ http://www.php.net/manual/en/features.cookies.php ]:
It's generally considered very bad practice to store usernames and/or passwords in cookies, whether or not they're obsfucated.

[funcool]

Allora usa le sessioni.

[express]

sono la stessa cosa con un nome diverso... e soprattutto non risolve il problema del "primo passo" ...

[funcool]

I siti più importanti usano le sessioni e usano un id crittografato.

[express]

mi sai indicare del codice da studiare in merito?

[dementialsite]

Se il tuo problema è quello che la prima volta i dati vengono inviati ad un indirizzo che mostra i dati stessi, più o meno come accade all'indirizzo della pagina da cui sto scrivendo:

Codice:

http://forum.altervista.org/newreply.php?do=newreply&noquote=1&p=365835

devi semplicemente verificare che il codice del modulo sia qualcosa del genere

Codice HTML:

<FORM NAME="..." ACTION="..." METHOD="post">
...
</FORM>

In questo modo i dati non sono visibili sull'indirizzo ma allegati in un file esterno, che PHP trova automaticamente usando come variabili i nomi che hai assegnato ai campi HTML di prima.

Stammi bene...

[express]

no, nn intendevo quello... intendevo il fatto che è possibile sniffare pure le variabili post... e siccome firefox mi manda un alert dicendomi che la form invia dati in modo insicuro, volevo sapere quale era il modo sicuro di farlo... ammesso che ci sia.

[funcool]

Dovresti usare il protocollo https.

[express]

e come si fa?

[domenicoragusa]

devi avere un server adatto, su av non lo puoi fare
ciao ciao

[express]

ok... ma non è che mi spiegate come si fa? ( o mi date un bel link )

Una possibile soluzione al tuo problema la trovi nel sorgente di questo forum.

In pratica quando si fa il submit dell'user e pwd, prima di passare i dati al POST, vengono converiti da una funzione javascript che ne fa l'md5. Solo dopo vengono inviati col form gli hash delle due variabili.
La conversione avviene quindi in locale e non c'è mai passaggio di dati in chiaro tra client e server

mavericck

Una possibile soluzione al tuo problema la trovi nel sorgente di questo forum.

In pratica quando si fa il submit dell'user e pwd, prima di passare i dati al POST, vengono converiti da una funzione javascript che ne fa l'md5. Solo dopo vengono inviati col form gli hash delle due variabili.
La conversione avviene quindi in locale e non c'è mai passaggio di dati in chiaro tra client e server

mavericck

cmq qst sistema nn è sicuro lo stesso, sniffando la connessione ci si può loggare tranquillamente, basta invire gli stessi hash con un form normale ke nn fa nessuno conversione...