23-03-2008, 04:16 PM
C'est une bonne solution pour sécuriser le mot de passe de ceux qui activent Javascript. Notre prof de sécurité nous disait de le faire quand c'était possible, que ça ne nous coûtait pas grand chose tout en sécurisant les utilisateurs de notre site.
Concernant le traitement côté serveur, je suppose que l'on vérifie si le champ hidden existe (ça voudra dire qu'il a été généré par Javascript), si oui, on compare le hash directement, sinon on hash le mot de passe clair (comme on fait d'habitude, et ici quand Javascript est désactivé).
Je rajoute un lien complémentaire pour ceux qui sont tentés : MD5 et SHA1 en Javascript, d'autres adaptations des algorithmes de hash sont disponibles (Google est notre amis).
Sephi-Chan
Concernant le traitement côté serveur, je suppose que l'on vérifie si le champ hidden existe (ça voudra dire qu'il a été généré par Javascript), si oui, on compare le hash directement, sinon on hash le mot de passe clair (comme on fait d'habitude, et ici quand Javascript est désactivé).
Je rajoute un lien complémentaire pour ceux qui sont tentés : MD5 et SHA1 en Javascript, d'autres adaptations des algorithmes de hash sont disponibles (Google est notre amis).
Sephi-Chan