Discussion :

[Arbisis]

Bonjour,

Mon problème est surement très basic, mais je ne trouve pas la solution. J'ai une page PHP où se trouve un formulaire avec un login et password. J'utilise pour le chiffrement du password SHA-256 avec javascript et j'envoie tous ça dans une autre page PHP pour insertion des data.

classique:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
<form name="log1" enctype="multipart/form-data" method="post" action="insertion.php">
<input type="hidden" name="pwdsha" />
...
<input type="text" name="log" />
<input name="pwd"type="text"size="20" />
...
<input type="submit" name="insert" value="Inscrire." onClick="javascript:
this.form.pwdsha.value=
sha256_digest(this.form.pwd.value)" />
</form>

Lorsque je click sur le submit, il envoie bien mon login et password après cryptage ($pwdsha) dans la page "insertion.php" pour in serrer dans ma bd.
Mais le problème est qu'il envoie aussi le password en claire ($pwd) dans "insertion.php".
Est il possible de faire en sorte que le submit n'envoie pas le password en claire mais juste le password crypté?

Merci.

[MANU_2]

Pour le mot de passe : <input type="password" name="pwd">

Et si JS désactivé ?

pense au SSL et md5.

[Arbisis]

Merci pour ta réponse.
Il est vrai je peux mettre password dans le type, mais ça ne change rien au fait que le password est en claire dans l'envoie vers le serveur.
Si js est désactivé je ne vois pas comment faire autrement qu'en utilisant : mhash(MHASH_SHA256, $pwd);
mais il y a toujours le pb d'envoi en claire du mot de passe, car si j'envoie en parallèle le mot de passe en claire et en le même mot de passe en crypté, pourquoi le crypter?
Que veux tu dire par:
"pense au SSL et md5."
?
Merci.

[MANU_2]

SSL => https => securité
md5 => fonction de cryptage

[Arbisis]

Mais Md5 a été cassé non?
N'y a t il pas d'autre moyen que du SSL pour mon pb?

[MANU_2]

md5 cassé ??
rien ne t'empeche de mettre un grain de sable pour augmenter le cryptage.

[Arbisis]

En fait ma question était plus sur le fait de ne pas envoyer en claire au serveur le mot de passe , que ce soit avec SHA ou MD5 le pb est le même.
N'y a t il que SSL ou pourrai je le faire avec par ex java script qui changerai la valeur du mot de passe après que celui est été crypte?

Si cela vous parait possible, comment le faire je suis une bille en js?

Merci.

[MANU_2]

Je ne te conseil pas d'utiliser le JS car on peut récupérer le fichier => pas bon pour la sécurité.