dubbi sull'utilizzo di md5

[giannipie]

Vorrei utilizzare tale funzione per criptare le password di un sito ma vorrei togliermi dei dubbi:

ho letto che il metodo "post" per il passaggio dei dati dal client al server non è sicuro, quindi alla partenza l'eventuale password non è cifrata?
se è così, si rischia che venga intercettata prima di essere processata dalla funzione md5 sul server?
ovviamente il problema è anche al principio, cioè nella fase di creazione della password, cioè al primo passaggio viene passata tramite "post" senza subire cifrature iniziali, o ho capito male il suo utilizzo?

grazie

[imente]

è proprio così

md5 se utilizzato solo lato server evita di tenere le password in chiaro nel db ma non evita il passaggio in chiaro client>server

un metodo efficace è sviluppare una challenge in JavaScript (lato client)
ovviamente il sistema deve funzionare sia con che senza

con il passaggio della password è SEMPRE cifrato (escluso durante la registrazione)

senza il passaggio della password è SEMPRE in chiaro

il sistema non è complesso

tramite js eviti che la form venga inviata e cominci una serie di botta e risposta col server (tramite XMLHTTP, ajax per intenderci)

client > inizio autenticazione (invia username)
server > invia un salt (una stringa alfanumerica casuale) e la salva nel db
client > fa md5(md5(password)+salt) e invia il tutto al server
server > fa md5(password_nel_db_già_in_formato_md5+salt_salvat o_nel_db) e verifica siano uguali (se lo sono accetta l'autenticazione)
client > riceve risposta negativa positiva e si comporta di conseguenza

se js è disattivato user e password vengono inviati tramite la form in chiaro

---

se ti interessa durante agosto pubblicherò un articolo completo sull'argomento con esempio pratico

domani parto per le vacanze, spero comunque di averti dato abbastanza spunti

ciao

[giannipie]

si interessa molto, appena torni fatti sentire, javascript lo mastico molto poco. Tornndo al discorso di prima, con la conferma che mi hai dato, anche se la password viene criptata e memorizzata senza essere intercettata subito, se viene intercettata in un secondo momento durante una login, è un giochetto cifrarla e farne il confronto con quella cifrata memorizzata nel database, basta processarla con il proprio pc...a risentirci... a me oggi scadono le ferie...

[giannipie]

...forse una soluzione sono le ssl, ma non le ho mai usate e non so quanto costano. Di solito tutti i siti che hanno bisogno di molta protezione come le banche, utilizzano le ssl proprio in fase di login, altri siti ho visto che le utilizzano solo in fase di login ed in determinate pagine personalizzate del sito, conosci qualche link per vedere come funzionano e quanto costano?