Форум программистов «Весельчак У»
  *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

  • Рекомендуем проверить настройки временной зоны в вашем профиле (страница "Внешний вид форума", пункт "Часовой пояс:").
  • У нас больше нет рассылок. Если вам приходят письма от наших бывших рассылок mail.ru и subscribe.ru, то знайте, что это не мы рассылаем.
   Начало  
Наши сайты
Помощь Поиск Календарь Почта Войти Регистрация  
 
Страниц: [1]   Вниз
  Печать  
Автор Тема: Скрыть используемый пароль  (Прочитано 30071 раз)
0 Пользователей и 1 Гость смотрят эту тему.
Павел
Интересующийся

ru
Offline Offline

« : 18-12-2010 12:18 » 

Здравствуйте! Подскажите, если не трудно, как в Java-Script осуществить такую операцию: в текстовое поле будет вводиться код - при нажатии на кнопку этот код будет сравниваться с начальным (реальным), так если я реальный код пропишу в HTML-коде, его все будут видеть. Я так думаю, его надо записывать в каком-то текстовом документе, а потом его от туда считывать. Помогите, пожалуйста!!!
Записан
Sla
Команда клуба

ua
Offline Offline
Пол: Мужской

WWW
« Ответ #1 : 18-12-2010 12:34 » 

самый безопасный способ - отправлять введенный пароль через ajax
Записан

Мы все учились понемногу... Чему-нибудь и как-нибудь.
Павел
Интересующийся

ru
Offline Offline

« Ответ #2 : 18-12-2010 13:24 » 

А если я подгружу код Java-Script из файла типа file.js, посетители сайта смогут прочитать этот файл?
Записан
RXL
Технический
Администратор

Offline Offline
Пол: Мужской

WWW
« Ответ #3 : 18-12-2010 13:26 » 

Павел, все, что можно загрузить в браузер - все это можно прочитать.
Записан

... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.
Павел
Интересующийся

ru
Offline Offline

« Ответ #4 : 18-12-2010 13:32 » 

Спасибо! Мне подсказали (см. выше), что самый безопасный способ - отправлять введенный пароль через ajax. Подскажите, пожалуйста, как это осуществить, если не трудно!
Записан
Sla
Команда клуба

ua
Offline Offline
Пол: Мужской

WWW
« Ответ #5 : 18-12-2010 13:42 » 

совсем не трудно, но для этого нужно ознакомиться с теорией.

http://dklab.ru/lib/JsHttpRequest/ - и теория и практика

Кроме того js фреймворки используют ajax методы (jquery, mootools etc)

Записан

Мы все учились понемногу... Чему-нибудь и как-нибудь.
Павел
Интересующийся

ru
Offline Offline

« Ответ #6 : 18-12-2010 13:49 » 

То есть можно осуществить это и в Java-Script?
Записан
Sla
Команда клуба

ua
Offline Offline
Пол: Мужской

WWW
« Ответ #7 : 18-12-2010 13:56 » 

так отправка с помощью ajax и есть js.

Вот что еще вспомнилось

есть библиотека js, что-то типа md5.js (не помню, помню только что видел применение)
Идея в том, что Истинное значение кодируется на сервере, отсылается я в браузер вместе с контентом. Браузер кодирует ответ (содержимое введенное пользователем) и сравнивает с с полученным от сервера.
Записан

Мы все учились понемногу... Чему-нибудь и как-нибудь.
Павел
Интересующийся

ru
Offline Offline

« Ответ #8 : 18-12-2010 14:14 » 

Если не сложно, напишите, пожалуйста, хотя бы примерный код, как это осуществить! Не могу найти в книгах!
Записан
Sla
Команда клуба

ua
Offline Offline
Пол: Мужской

WWW
« Ответ #9 : 18-12-2010 14:33 » new

я рассказал принцип, в книгах такого, увы...

http://www.webtoolkit.info/javascript-md5.html

Записан

Мы все учились понемногу... Чему-нибудь и как-нибудь.
Serg79
Команда клуба

ru
Offline Offline
Пол: Мужской

WWW
« Ответ #10 : 18-12-2010 16:38 » 

самый безопасный способ - отправлять введенный пароль через ajax
Ну что это. Вполне можно хранить пароль и в самом javaScript (HTML). Только хранить его не в открытом виде, а в виде его хеш-суммы. Для больше надежности можно использовать md5, для параноиков подойдет sha-512...
Записан
poyt
Гость
« Ответ #11 : 05-02-2011 18:27 » 

Цитата
Ну что это. Вполне можно хранить пароль и в самом javaScript (HTML). Только хранить его не в открытом виде, а в виде его хеш-суммы. Для больше надежности можно использовать md5, для параноиков подойдет sha-512...
Такой вариант может подойти для простого сайта, для крупного проекта такое лучше не использовать, а "зашивать" в куки, и лучше, чтобы кроме md5(пароля) был что-то вроде md5(пароль + соль), где соль - случайно сгенерированная строка.
Записан
Dimka
Деятель
Команда клуба

ru
Offline Offline
Пол: Мужской

« Ответ #12 : 05-02-2011 18:41 » 

poyt, не вижу разницы между cookies и кодом JavaScript - и то, и то хранится на клиентской машине в открытом виде.
Записан

Программировать - значит понимать (К. Нюгард)
Невывернутое лучше, чем вправленное (М. Аврелий)
Многие готовы скорее умереть, чем подумать (Б. Рассел)
zubr
Гость
« Ответ #13 : 05-02-2011 19:24 » 

Dimka, можно хранить пароль в куках в зашифрованном виде. Серверный скрипт, получив зашифрованный пароль из куки, расшифровав его и сравнив с паролем, который ввел пользователь, определяет правильность пароля. Это все имеет смысл, если пароли не хранятся на сервере.
Записан
Dimka
Деятель
Команда клуба

ru
Offline Offline
Пол: Мужской

« Ответ #14 : 05-02-2011 22:08 » 

zubr, не понимаю, кто мешает злоумышленнику послать соответствующие cookies. Это то же самое, что хранить зашифрованный пароль прямо в JavaScript (и тоже обрабатывать на сервере, если так хочется).
Записан

Программировать - значит понимать (К. Нюгард)
Невывернутое лучше, чем вправленное (М. Аврелий)
Многие готовы скорее умереть, чем подумать (Б. Рассел)
zubr
Гость
« Ответ #15 : 06-02-2011 01:23 » 

zubr, не понимаю, кто мешает злоумышленнику послать соответствующие cookies. Это то же самое, что хранить зашифрованный пароль прямо в JavaScript (и тоже обрабатывать на сервере, если так хочется).
Алгоритм можно реализовать следующим образом. К примеру у нас сайт без поддержки БД, а пользователь должен получить доступ к какому то контенту, индентифицируя себя. При регистрации, пользователь вводит пароль, серверный скрипт, получив пароль, шифрует его и сохраняет его у пользователя в зашифрованном виде в куках. При каждом последующем посещении сайта, пользователь должен в поле ввода формы ввести пароль (незашифрованный) - в результате серверный скрипт получает зашифрованный и незашифрованный пароль, расшифровывает зашифрованный пароль, полученный из куки и сравнивает пароли, они должны совпасть, в случае совпадения паролей, скрипт выдает нужный контент.
Что даст злоумышленнику наличие в куках зашифрованного пароля? Ведь, чтобы серверный скрипт выдал ему нужный контент,  ему еще надо на сервер в виде параметра формы послать незашифрованный пароль, которого он не знает, а также не знает алгоритм шифрования, применяемый на сервере.
Записан
RXL
Технический
Администратор

Offline Offline
Пол: Мужской

WWW
« Ответ #16 : 08-02-2011 14:03 » 

Еще такое возможно:
1. После авторизации сервер генерит некоторый случайный идентификатор (типа одноразового пароля), шифрует чем-то своим и отдает клиенту в куки, а также дает ему идентификатор сессии, по которому клиент авторизуется в течении сессии.
2. Сессия закончилась. Пользователь при очередном запросе отдает куки, сервер расшифровывает его, сверяет пароль и либо отвергает его и требует пароля, либо принимает и переходим к п.1.
Записан

... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.
Страниц: [1]   Вверх
  Печать  
 

Powered by SMF 1.1.21 | SMF © 2015, Simple Machines