bcrypt para js y metodologia correcta?

Buenas tengo una dudilla sobre la metodologia a seguir para dar algo mas de seguridad a mis formularios de registro de datos, les cuento como pienso hacerlo, por ejemplo un formulario donde pones tu login y password para registrarte:

Tengo en mi html, un formulario con dos campos de texto (usuario y password)y un boton, el boton dispone un evento onclick que llama a una funcion js que esta en el mismo html, al llamarla le pasa 3 parametros que son el login , el password y la url de mi .php al que una vez encriptados los datos js se encargara de redireccionar el navegador hacia dicho php y este de almacenar los datos en base de datos.

Mi problema es que no se si se dispone de una libreria para encyptar en bcrypt para js(dado que en php uso bcrypt sino usaria md5 que se que existe para ambos...) y si esta es la mejor manera de evitar que alguien que estuviese escuchando el envio pueda capturar datos sin encriptar.

Resumen:Usuario mete datos, click en boton, este llama a funcion js pasandole datos y url del php , esta encripta y redirecciona a php con la url facilitada , y php almacena en bbdd.

Gracias!

La idea que tienes esta buena, pero la pregunta es que pasa si el javascript no esta activado por ejemplo a veces sucede que los hackers hacen esto para que la pagina pierda la funcionabilidad (la cual esto no debe ser porque no hay que depender de javascript) y poder enviar los datos que desees en todo caso como se menciona siempre trata de realizar validaciones también desde el lado del servidor

http://code.google.com/p/javascript-bcrypt/

Saludos

El tema de que js este desactivado ya lo habia pensado en ese caso simplemente no podra enviar el formulario, pero nadie podra robar nada... y hoy en dia quien tiene js desactiado si js es el alma de la web en nuestros dias... evidentemente en php todo viaja tb encriptado, que otra metodologia me recomiendas ? dado que sin js como trato la informacion antes de enviarla?

Gracias Dradi7

no necesariamente porque cuando uno hace pruebas o quiere robar la información puede desactivar el javascript si lo necesita y si por ejemplo tu no tienes validado nada del lado del servidor entonces cualquiera podría hacer injeccion sql y acceder fácilmente a tu información

no se si has revisado esto en este link mas o menos te explican como evitar que roben contraseñas de tu sistema, muy util la explicacion y los ejemplos

http://net.tutsplus.com/tutorials/ph...search_index=3

nono evidentemente que el tema de inyeccion y demas en el lado del servidor ya esta preparado mi problema es del lado del cliente, y que yo sepa en el cliente o lo que es lo mismo , el navegador html css y js es todo lo que funciona asique si no lo trato con js con que lo trato??
lo que no puedo es enviar el formulario a un php sin encriptar porque entonces si que estoy poniendolo facil no crees? por eso necesito encriptarlo con js, y de ahi mi problematica, como traras tu los datos en cliente?

He leido el articulo, interesante pero ya conocia esa informacion aunque se basa en el servidor y yo hablo del cliente, ademas segun tengo entendido con bcrypt no es necesario implementar salt como con md5 pues blowfish ya lo trae incorporado.

PD: he descargado el zip desde la pagina que me facilitas, pero en el encuento muchas carpetas y .js sabes cual es en concreto.Aunque en el ejmplo usa todos estos , nose si son necesarios:
<script src="MochiKit/MochiKit.js" type="text/javascript"></script>
<script src="Clipperz/Base.js" type="text/javascript"></script>
<script src="Clipperz/ByteArray.js" type="text/javascript"></script>
<script src="Clipperz/Crypto/BigInt.js" type="text/javascript"></script>
<script src="Clipperz/Crypto/SHA.js" type="text/javascript"></script>
<script src="Clipperz/Crypto/AES.js" type="text/javascript"></script>
<script src="Clipperz/Crypto/PRNG.js" type="text/javascript"></script>

Una vez mas gracias Dradi7

Una manera la cual puedes hacer y yo lo he aplicado es lo siguiente

• Crear un Key desde el lado del Servidor
• Luego con ese mismo Key utilizarlo como un Salt para encriptar tus datos, puedes usar AES para mejor seguridad o otro lo cual deseas
• Validar que el Key generado corresponde a la petición que has enviado

Con esto obtendrás que cualquier usuario que roba por ejemplo la url no pueda obtener los datos ya que el key se generara automáticamente por cada petición mejor dicho por el usuario que ha entrado a ingresar los datos.

En este link se te explicara mas detallado lo de la key que te propongo y con el link que te pase podrías mejorar tu seguridad aun mas

http://net.tutsplus.com/tutorials/ph...search_index=9

Saludos

Tomo nota, me parece muy interesante el metodo que se comenta en tu enlace, de todas maneras el mio te parece valido? es solo por guiarme , no obstante sin duda el tuyo me llama mas la atencion ;)

Gracias

Si también me parece valido, mejor dicho ambos son validos la diferencia esta que yo al hacer por ejemplo la explotación o buscarlo dentro de una tabla de arcoiris me seria mas fácil romper el tuyo que solamente utilizo un método de encriptacion como MD5 la cual mencionas talves deberías usar SHA1 o en todo caso AES como menciono porque utiliza SALT

Saludos

Gracias por tu ayuda , me interesa el tuyo puesto que tb evita problema de xss y es un tema a tener en cuenta, no obstante recuerda que bcrypt se ha implementado en php5 y es muy interesante incluye salt por defecto, echale un ojo ;)

Un saludo!

Si ya lo revise y yo mismo lo he implementado también en un proyecto anteriormente

Saludos