Bloquer envoi données

Arbisis · 21/01/2008, 17h46

Bonjour,

Mon problème est surement très basic, mais je ne trouve pas la solution. J'ai une page PHP où se trouve un formulaire avec un login et password. J'utilise pour le chiffrement du password SHA-256 avec javascript et j'envoie tous ça dans une autre page PHP pour insertion des data.

classique:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
<form name="log1" enctype="multipart/form-data" method="post" action="insertion.php">
<input type="hidden" name="pwdsha" />
...
<input type="text" name="log" />
<input name="pwd"type="text"size="20" />
...
<input type="submit" name="insert" value="Inscrire." onClick="javascript:
this.form.pwdsha.value=
sha256_digest(this.form.pwd.value)" />
</form>

Lorsque je click sur le submit, il envoie bien mon login et password après cryptage ($pwdsha) dans la page "insertion.php" pour in serrer dans ma bd.
Mais le problème est qu'il envoie aussi le password en claire ($pwd) dans "insertion.php".
Est il possible de faire en sorte que le submit n'envoie pas le password en claire mais juste le password crypté?

Merci.

MANU_2 · 21/01/2008, 17h56

Pour le mot de passe : <input type="password" name="pwd">

Et si JS désactivé ?

pense au SSL et md5.

Arbisis · 21/01/2008, 18h31

Merci pour ta réponse.
Il est vrai je peux mettre password dans le type, mais ça ne change rien au fait que le password est en claire dans l'envoie vers le serveur.
Si js est désactivé je ne vois pas comment faire autrement qu'en utilisant : mhash(MHASH_SHA256, $pwd);
mais il y a toujours le pb d'envoi en claire du mot de passe, car si j'envoie en parallèle le mot de passe en claire et en le même mot de passe en crypté, pourquoi le crypter?
Que veux tu dire par:
"pense au SSL et md5."
?
Merci.

MANU_2 · 21/01/2008, 19h06

SSL => https => securité
md5 => fonction de cryptage

Arbisis · 21/01/2008, 19h13

Mais Md5 a été cassé non?
N'y a t il pas d'autre moyen que du SSL pour mon pb?

MANU_2 · 22/01/2008, 10h33

md5 cassé ??
rien ne t'empeche de mettre un grain de sable pour augmenter le cryptage.

Arbisis · 24/01/2008, 16h25

En fait ma question était plus sur le fait de ne pas envoyer en claire au serveur le mot de passe , que ce soit avec SHA ou MD5 le pb est le même.
N'y a t il que SSL ou pourrai je le faire avec par ex java script qui changerai la valeur du mot de passe après que celui est été crypte?

Si cela vous parait possible, comment le faire je suis une bille en js?

Merci.

MANU_2 · 25/01/2008, 09h22

Je ne te conseil pas d'utiliser le JS car on peut récupérer le fichier => pas bon pour la sécurité.

21/01/2008, 17h56	#2
MANU_2 Membre confirmé Inscription : mai 2002 Messages : 417 Détails du profil Informations forums : Inscription : mai 2002 Messages : 417 Points : 224 Points : 224	Pour le mot de passe : <input type="password" name="pwd"> Et si JS désactivé ? pense au SSL et md5.
	00

21/01/2008, 18h31	#3
Arbisis Candidat au titre de Membre du Club Inscription : janvier 2004 Messages : 64 Détails du profil Informations forums : Inscription : janvier 2004 Messages : 64 Points : 14 Points : 14	Merci pour ta réponse. Il est vrai je peux mettre password dans le type, mais ça ne change rien au fait que le password est en claire dans l'envoie vers le serveur. Si js est désactivé je ne vois pas comment faire autrement qu'en utilisant : mhash(MHASH_SHA256, $pwd); mais il y a toujours le pb d'envoi en claire du mot de passe, car si j'envoie en parallèle le mot de passe en claire et en le même mot de passe en crypté, pourquoi le crypter? Que veux tu dire par: "pense au SSL et md5." ? Merci.
	00

21/01/2008, 19h06	#4
MANU_2 Membre confirmé Inscription : mai 2002 Messages : 417 Détails du profil Informations forums : Inscription : mai 2002 Messages : 417 Points : 224 Points : 224	SSL => https => securité md5 => fonction de cryptage
	00

21/01/2008, 19h13	#5
Arbisis Candidat au titre de Membre du Club Inscription : janvier 2004 Messages : 64 Détails du profil Informations forums : Inscription : janvier 2004 Messages : 64 Points : 14 Points : 14	Mais Md5 a été cassé non? N'y a t il pas d'autre moyen que du SSL pour mon pb?
	00

22/01/2008, 10h33	#6
MANU_2 Membre confirmé Inscription : mai 2002 Messages : 417 Détails du profil Informations forums : Inscription : mai 2002 Messages : 417 Points : 224 Points : 224	md5 cassé ?? rien ne t'empeche de mettre un grain de sable pour augmenter le cryptage.
	00

24/01/2008, 16h25	#7
Arbisis Candidat au titre de Membre du Club Inscription : janvier 2004 Messages : 64 Détails du profil Informations forums : Inscription : janvier 2004 Messages : 64 Points : 14 Points : 14	En fait ma question était plus sur le fait de ne pas envoyer en claire au serveur le mot de passe , que ce soit avec SHA ou MD5 le pb est le même. N'y a t il que SSL ou pourrai je le faire avec par ex java script qui changerai la valeur du mot de passe après que celui est été crypte? Si cela vous parait possible, comment le faire je suis une bille en js? Merci.
	00

25/01/2008, 09h22	#8
MANU_2 Membre confirmé Inscription : mai 2002 Messages : 417 Détails du profil Informations forums : Inscription : mai 2002 Messages : 417 Points : 224 Points : 224	Je ne te conseil pas d'utiliser le JS car on peut récupérer le fichier => pas bon pour la sécurité.
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email