Originariamente inviato da thunderlips
Scusa, ho cercato di capire la logica del tuo sistema di login, forse sono io che non capisco, però mi sono un po perso in alcune parti...
Penso però, che se vuoi fare una cosa ancora più "sicura" potresti fare l'md5 del valore casuale e della password combinati insieme, così ti viene generata una sola stringa md5 che è ben più difficile da decifrare, fai un passaggio in più ma incrementi la sicurezza.
In ogni caso, per quanto riguarda il tuo problema, non riesco a capire perché vuoi usare javascript, javascript ti servirebbe soltanto per inserire il valore md5 del campo password nel campo hidden, ma non per altro, tutti gli altri controlli successivi li puoi fare con PHP, o sbaglio?
I valori sono già combinati insieme se guardi questa porzione di codice :
codice:
 psw = hex_md5 (psw) ;
psw = hex_md5 (psw + challengeword) ;
noterai che sommo la psw digitata dall'utente con il valore random generato dal server.
In questo modo ho un'unico valore che devo decriptare nella pagina di controllo del login.
Riguardo PHP o Javascript non credo ci siano sostanziali differenze, in questo caso mi è andato di usare javascript ma non per qualche specifica ragione.

Originariamente inviato da andr3a
avevo fatto una pillola sul login con invio in md5 ... di fatto non serve "a niente" (non garantisce sicurezza, tenta solo di forviare ed evita sql injections).

il valore casuale viene assegnato alla sessione, le sessioni non sono un metodo sicuro se il server non è dedicato, l'invio del valore random rimane comunque trasparente, quindi al limite bisognerebbe settare un cookie e rileggerlo con JS .... ma anche il cookie di fatto è un invio in chiaro di un dato.

In sintesi, stai perdendo tempo per un sistema che comunque non sarà più sicuro di una normae login, a meno che tu non stia su SSL, ma aquel punto tutti questi giri diventerebbero pressapoco inutili
Scusa non capisco cosa vuol dire questa frase:
codice:
il valore casuale viene assegnato alla sessione, le sessioni non sono un metodo sicuro se il server non è dedicato
Vorresti dire che nel mio caso il valore random che assegno alla variabile di sessione può essere intercettato???Puoi spiegarmi sta cosa che mi interesserebbe..
Grazie!