¿Cómo hacer hash de las contraseñas del lado del cliente sin javascript?

Navega tus respuestas
2

Estoy trabajando en la implementación de un sistema de inicio de sesión básico (lo sé, no uses tu propia seguridad, bla, bla, bla) usando PHP y MySQL. Sin embargo, no quiero que el usuario tenga que tener JavaScript habilitado, lo que significa que casi todo el trabajo pesado debe hacerse desde el lado del servidor. Así que quiero marcar la contraseña del usuario antes de enviarla al servidor. Básicamente, no quiero confiar únicamente en https y ssl para evitar ataques MTM. Pero tampoco quiero usar JavaScript para el hashing del lado del cliente.

¿Puedo asegurarme de que los datos que envío al servidor estén en hash o no sean de texto simple sin depender de JavaScript?

    
pregunta 23.12.2016 - 16:18
fuente

2 respuestas

2

No te va a gustar ninguna de las opciones. La razón por la que las personas deshabilitan JavaScript es precisamente por su capacidad para ejecutar todo tipo de instrucciones; las otras opciones para la ejecución del lado del cliente (flash, applets de java, silverlight) serán ciertamente deshabilitadas por alguien que deshabilite JavaScript, porque son aún más potentes. Sus dos requisitos están en conflicto, por lo que debe decidir cuál es más importante.

    
respondido por el Xiong Chiamiov 23.12.2016 - 17:48
fuente
0

Creo que no entiendes el hashing de una contraseña antes de enviarla, solo hace que la nueva contraseña que ve el servidor que intenta verificar las credenciales de inicio de sesión. Una cosa podría ser el uso de claves públicas / privadas para cifrar el texto de la contraseña que se envía.

    
respondido por el Edward 23.12.2016 - 20:40
fuente

Lea otras preguntas en las etiquetas

¿Cuál es la mejor manera de agregar una cadena de usuario? Mejores prácticas para manejar tokens TOTP incorrectos