Hola,

Estoy haciendo un login seguro con PHP y para evitar los ataques man in the middle voy generando un token aleatorio en el servidor que paso al cliente cada vez que este entra a login.php. Desde ahí cuando el usuario mete su password se pasa por el típico js de validación del formulario que genera un hash MD5 de la concatenación del token y el md5 de la contraseña introducida [ md5(token+md5(password)) ] y ESO es lo que quiero que se envíe, y ya en el server hacer la misma encriptación y comprobar ambos hashes.

De esta forma, lo que pretendo es que en NINGÚN MOMENTO esté viajando entre el ordenador y el router la contraseña del usuario "desnuda".

¿Cuál es el problema? Pues que mientras el campo de tipo password donde el usuario ha escrito su contraseña esté dentro de la etiqueta form, por mucho que encripte TAMBIÉN se va a mandar ese campo, o sea que estamos en las mismas... os preguntaréis: ¿por qué no sacarlo del form y coger su valor con getElementById? Pues porque entonces los exploradores no muestran la opción de "Guardar contraseña" y yo quiero que lo hagan :(

¿Qué se os ocurre?
Thanks!