Criptare i dati di un form

[Thinker]

Ciao a tutti ragazzi, tempo fa ho fatto un piccolo JS come passa tempo, dall'idea molto semplice:

- Ogni volta che un utente inviava un form, tutti i dati nei campi venivano presi e mostrati per esempio in un alert

E ovviamente, se per esempio l'utente avesse inviato i dati di un form di login, lo script avrebbe restituito una cosa simile a questa:

form.html

codice:

<form method="post" action="/accedi">
	Email		<input type="text" name="email" />
	Password	<input type="password" name="psw" />
	<input type="submit" value="Accedi" />
</form>

risultato.js

codice:

alert("email: email@inserita.com, psw: passwordInserita");

Ora, se si segue la stessa idea per esempio su Twitter, Facebook, o altri siti di una certa importanza, il risultato sarà una cosa simile:

risultato.js

codice:

alert("A8401hBikrhS0412p");

ovvero, il tutto criptato PRIMA dell'invio del form, quindi presumibilmente grazie a JS o qualche altro espediente. Ovviamente questo rende il tutto molto più sicuro, ma non riesco ancora bene a capire come la cosa sia strutturata

Voglio dire, l'idea di base sarebbe quella di intercettare l'invio dei dati, e prima di eseguire il codice "svuotare" i campi, e caricare tutti i valori per esempio in un campo nascosto, ovviamente criptato, per poi inviare il tutto alla pagina di login o quel che sia.

Così facendo però, bisognerebbe utilizzare Javascript, e quindi rendere "pubblico" l'algoritmo che si occupa di criptare i dati prima dell'invio del form, il che sarebbe controproducente se non addirittura inutile.

La domanda in sostanza è: Come posso criptare i dati in uscita di un form, in modo che non vengano eventualmente intercettati da un'estensione pericolosa o del codice malevolo?

Tutte le idee sono ben accette

Thinker

[cavicchiandrea]

Per quanto ne so (ma non sono un esperto) si può usare md5 per criptare i dati ma non credo (non sono certo) si possa fare lato client con js. Ma una ottima sicurezza la potresti avere attivando ssl (128bit) cioè quello che usano le banche

[Thinker]

Certo, con JS (o meglio, jQuery) si può utilizzare la funzione md5, ma sarebbe poco pratica dato che sarebbe poi "impossibile" decriptare i dati. Anche se si utilizzasse qualcosa come base64_encode() e base64_decode(), servirebbe a ben poco perchè sono funzioni che permettono pubblicamente di decriptare i dati, quindi chiunque potrebbe comunque intercettarli e decriptarli

Servirebbe una funzione proprietaria, in linguaggi lato server, in modo che gli utenti non possano conoscere l'algoritmo utilizzato per criptare i dati.

Ho letto in giro che bisognerebbe fare una chiamata ad una seconda pagina, prima di procedere con l'invio del form, che cripta i dati e li ritorna al form, che in seguito invia questi ultimi alla pagina di accesso.

In sostanza:

FORM
1. Quando l'utente clicca sul pulsante Invia, ferma il processo di login e chiama tramite JS una seconda pagina che cripta i dati ricevuti dal form, e li ritorna in un campo nascosto
2. Il form riprende, ma al posto di inviare tutti i dati, invia SOLO il messaggio criptato nel campo nascosto


Ma ovviamente una cosa simile non andrebbe bene perchè

1. Se l'utente ha JS disattivo ( ) non cripta un bel niente
2. Lo script che avevo fatto intercettava comunque l'evento onSubmit() tramite JS, quindi otterrebbe comunque i dati non criptati prima che questi vengano inviati alla pagina secondaria

[cavicchiandrea]

Io restò della mia idea usare un protocollo https, altre soluzioni le vedo poco pratiche e insicure

[Ranma2]

MD5 lo si utilizza solo per la password. Se vuoi criptare i dati puoi utilizzare una criptazione simmetrica, ci sono script JS già pronti a riguardo. Il problema è che in qualche modo devi passare la chiave pubblica da A a B, in questo caso dal browser al server.

Il top sarebbe l'assimmetrica (dai un occhio a jCryption), che poi è quella utilizzata nei certificati SSL

[Thinker]

@cavicchiandrea Https è senza dubbio indispensabile per la sicurezza, ma la mia è solo una curiosità generica, non legata ad un particolare sito web, comunque grazie

@Ranma2 Grazie per la risposta, ho dato un'occhiata veloce alla demo di jCryption e (almeno con una prima prova) non intercetta nemmeno il submit del form, il che già bloccherebbe un malintenzionato alle prime armi ^^
Ovviamente devo ancora guardare bene come funziona, ma dando un'occhiata veloce, se ho ben capito, si può utilizzare anche una password generata casualmente come i movimenti del mouse, il che è una cosa ottima Rimane solo il "problema" che è comunque JS, quindi dovrebbe comunque esserci un modo per recuperare la password generata in qualche modo ma.. questo lo vedrò nei prossimi giorni

Grazie a tutti per le risposte, vi farò sapere se ho novità

Thinker