HASH MD5 su form

[Lecta75]

Allora, premetto che nuovo, ho provato a cercare nel forum ma non ho trovato nulla...

Mi è capitato di inserire in un form un campo nascosto con l'hash md5 della password usata dall'utente attualmente loggato.

Il form serve per permettere all'utente di cambiare la password.
Il campo nascosto serve come ulteriore misura di sicurezza in quanto il form chiede all'utente di inserire prima la password corrente e poi la nuova password. In questo modo la password corrente inserita dall'utente viene confrontata con quella del campo nascosto. per essere sicuri che non si incappi nel caso che l'utente lascia il computer acceso e loggato e qualcun altro prova a cambiargli la password.

Premesso che alla fine ho optato per usare una variabile di sessione (che dovrebbe essere la scelta più logica) invece del campo nascosto, la mia domanda è più che altro accademica:

che rischi di sicurezza si corrono a mettere un hash md5 in un campo nascosto di un form?
Cioè, direttamente non può essere usato perché tanto lo script di login farebbe un md5 del testo inserito nel campo password...

La parola agli esperti :-)

[mr.click]

è consigliabile non mettere i dati sensibili in campi nascosti del form, quindi la password in questione. la soluzione con la variabile di sessione è sicuramente migliore. per quanto riguarda la crittografia md5, da un'impronta digitale (md5,sha1) di una stringa, non puoi mai risalire alla parola originaria, quindi anche se tu mettessi l'md5 di una password dento un campo nascosto non si potrebbe ritrovare la parola originaria eseguendo un "md5 al contrario" per intenderci.

[Lecta75]

Grazie per la risposta, proprio come pensavo infatti.

Ciao,
Stefano