JS (password) - un vostro commento su questo js

[fmortara]

Ciao a tutti...

premetto che io non capisco niente assolutamente di js....

ho trovato in giro questo script...
vi sembra sicuto?

codice:

<script>
function submitentry(){
password = document.password1.password2.value.toLowerCase()
pass = 1
for(i = 0; i < password.length; i++) {
pass *= password.charCodeAt(i);
}
if(pass == 18585644029722000){
window.location=password+".htm"}
else{
alert("Password non corretta")}
}
</script>

si potrebbe trovare la password???

grazie mille per la risposta!

Francesco

[Mich_]

Con un po' di buona volonta` (e conoscenza di un linguaggio), si riesce a costruire un programma in 15 minuti e quindi craccare il tuo codice nel giro di un'ora (dipende dalla velocita` del computer e dal linguaggio usato).

Non e` possibile con JS controllare password cosi`.

Piu` sicuro sarebbe non fare il controllo: in pratica dando quel numero dai la chiave per la soluzione.
Inoltre in qualche browser potresti non avere il consenso neppure con la passwd corretta (numeri cosi` grossi potrebbero venir arrotondati).

Se vuoi una cosa sicura, devi fare una protezione lato server.

[calibro22]

Non vorrei essere precipitoso, ma analizzando il codice mi sembra che una volta fissata la password, si ha comunque accesso alla pagina protetta anche con tutti gli anagrammi della parola.
Quindi non è il massimo!!!
Se provi a cambiare l'operatore di assegnazione '*=' con qualcosa di non commutativo come la moltiplicazione, forse otterrai un algoritmo più sicuro.
Spero di essere stato chiaro.
Ciao

[fmortara]

grazie,

il codice non è mio, ma volevo avere un parere di esperti...
io non farei mai un controllo pwd lato client.

volevo capire se dal codice postato si "leggeva" o meno la password...

tutto qui...

ciaoooo

[Mich_]

Questo e` comunque piu` "sicuro":

codice:

<script>
function submitentry(){
  password = document.password1.password2.value;
  window.location=password+".htm"
}
</script>

Naturalmente se nella directory e` presente un file index.htm e se il webserver impedisce la lista della dir da internet.

Nota che ho tolto il .toLowerCase(): se il server non e` windows e` una sicurezza in piu` (puoi usare maiuscole e minuscole come caratteri diversi).

[fmortara]

si, ma allora non devi mettere via il .htm ...???

o mi sbaglio?

ciao!