Originariamente inviato da Leonraf
Ciao a tutti!
Vorrei sfruttare questo post per chiedervi una cosa sulla sicurezza della password se è possibile...
Nel form di registrazione e anche in quello di login si inseriscono, oltre a tutti gli altri dati, anche le password. Io ho fatto in modo che nel database vengano criptate le password, ma leggendo vari documenti in internet ho visto che è possibile, con un attacco particolare da parte di un maleintenzionato, visionare il traffico di rete, e quindi venire a conosienza eventualmente delle password che sono state inviate dall'utente al server. La mia domanda è questa: è necessario criptare le password prima dell'invio dal form di registrazione e poi anche dopo nel server?
Grazie mille.
se stiamo parlando di un attacco che prevede di intercettare il traffico di rete ti basta usare una comunicazione criptata tra il client e il server (tramite protocollo https) anche questa soluzione ha dei limiti ma è già un buon inizio (se non stiamo parlando del sito di una banca ).

Se invece il problema è un attacco che viene portato direttamente sul client, allora li come sviluppatore del sito tu non puoi farci niente; per capirci se il client ha un virus che visualizza ciò che scrive l'utente non c'è modo di intervenire, stà al proprietario del client tenere aggiornati i suoi sistemi di sicurezza per evitare queste situazioni, tu al massimo puoi implementare un sistema che prevede password variabili a seconda del momento in cui vengono digitate, in modo che quando l'hacker ne viene ha conoscienza sono comunque inutilizzabili.