Kryptering af password

du kan kryptere med js eller benytte dig af https - alternativt skal du nok over i noget certifikat, men det er nok lidt overkill...

#1
Du skal da have et certifikat for at have HTTPS? :) Uanset om det er hjemmelavet eller ej :)

umiddelbart kunne du bruge javascript til at kryptere det, men så skal javascript-koden også scramples på en eller anden måde, så det er svært at se hvilken key du bruger. der findes ikke nogen bulletproof måde at gøre det på og selv med https kan der laves mitm-attacks ved at spoofe certicates. men hvis ikke du kan bruge https så som splazz siger - brug noget scrampled js-kode til at kryptere skidtet.

Jeg bruger altid dette js script ved login:
http://forums.devshed.com/clientscript/vbulletin_md5.js

Det krypterer indtastet password, og sætter krypteret værdi i et hiddenfelt, og tømmer passwordfeltet, så der på den måde ikke sendes "ren tekst" afsted.

-> #2 - hmm, det mente jeg ikke :) det er heller ikke noget jeg har arbejdet med. tak for rettelsen :)

jeg plejer også at bruge et script a la det showsource linker til...

A ren og skær nysgerrighed - hvordan kan det så være at I vil sikre jer at der ikke er nogen der sniffer trafikken mellem jeres server og klienten?
Personligt mener jeg det må være klientens ansvar at forbindelsen mellem websitet og browseren er tilstrækkelig sikker. Ikke kun for at sikre kommunikationen mellem min løsning og klienten, men også generelt i forbindelse med andre løsninger?
Det er vigtigere for mig, som bruger af et site, at jeg ved min kode ikke kan aflæses ved at kigge i backenden - det er typisk SQL injections og andre sårbarheder der er på diverse online applikationer. At jeg så sender mit password i clear text anser jeg ikke som en større sikkerhedsrisiko end hvis uvedkommende får adgang til mine oplysninger i databasen.

Tak for de mange kommentarer, tror jeg er blevet klogere nu. Så smid lige nogle svar.

#6 Det er vel trods alt nemmere at få fat i div. computere ( lægge noget snavs ind ) som bruges af "alm." brugere, end at skulle hacke sig ind på en server ?

Anyway, er det jo absolut ingen skade til at man prøver at sikre så meget som man nu kan ?

Hvordan du har det med de scripts du laver, serversetup etc. er jo "lukket land" for brugeren.

Og jeg springer point over her.

jeg hopper også over her :)

Lukker

Det kan da tilføjes at det ikke rigtig afhjælper sniffer-problemet, at man hash'er passwordet i js før afsendelse. Sniffer man den hash, så kan man jo stadig logge ind som denne bruger...

HTTPS løser problemer ved at benytte asymmetrisk kryptering.

njahh, ikke helt ksoren, fordi de tegn som sendes afsted, bliver jo efterfølgende md5 krypteret på serveren.

Men hvis snavs ligger på brugers computer, er det jo lige meget .....

hvis mit password er "ksoren"
og jeg omdanner det til md5 "6b8ae2ab908170c51a233c8487d9f8b3" i js
og sender denne hash afsted...

Hvad sammenligner du så den med på serveren?

Ja, jeg var pissetræt og tænkte med røven.
Og lige for tiden er der for langt i mellem at jeg roder med php.

Glem endelig min kommentar i #12