Ver Mensaje Individual
  #9 (permalink)  
Antiguo 14/07/2012, 03:24
Avatar de Panino5001
Panino5001
Me alejo de Omelas
 
Fecha de Ingreso: mayo-2004
Ubicación: -34.637167,-58.462984
Mensajes: 5.143
Antigüedad: 18 años, 2 meses
Puntos: 832
Respuesta: Formulario seguro (con encriptación)

Cita:
Iniciado por dontexplain Ver Mensaje
Si envias por POST el hash el hash está desnudo, si envías el password el password queda desnudo. La única forma es simular SSL.

Para ello has de usar una key única a la recarga de la página, que será generada de PHP. Esa key servirá de clave para encriptar el password. Como la clave se genera cada vez que se recarga es imposible averiguar cual es.

A la llegada del password se descifra con esa misma clave almacenada en $_SESSION y se procede a la autentificación corriente.

Un saludo.
Lo que estás haciendo es cifrar en el cliente; en otras palabras, estás mostrando el camino para revertir el proceso y, en consecuencia, estás en la misma, sólo dificultaste un poco las cosas. La delegación del proceso en sistemas como facebookConnect, twitterConnect, o similares funciona de la misma manera en que lo hacen los carros de compra integrados con PayPal: llevan el proceso de intercambio de información sensible a un website con ssl.