Odesílání hesla z formuláře pres hash md5

Zdeno1981

Zdravím, mám takový problém že nedokážu poslat z formuláře heslo přes hash md5 a nevím v čem dělám chybu:

<?php

    public function sendUserFormSubmitted($form)
    {
        $form->values['heslo'] = md5($form->values['heslo']);
        dump($form->values);
	dump($form->values['heslo']);
    }

?>

výsledek je bez hashe

<?php

ArrayHash(6) {
   "jmeno" => "test" (4)
   "uzivatel" => "test" (4)
   "heslo" => "test" (4)
   "oddeleni" => "test" (4)
   "ocislo" => "test" (4)
   "role" => "uzivatel" (8)
}

"test" (4)

?>

VaKvas

$values = $form->values;
$values->password = md5($values->password);

Mikulas Dite

Každopádně to je stejně jenom úprava těch dat, posílá se to normálně. Teoreticky by to šlo udělat přes js, ale mnohem lepší varianta je nahodit tam ssl certifikát a https.

Zdeno1981

VaKvas napsal(a):

$values = $form->values;
$values->password = md5($values->password);

díky za tip, tohle bohatě postačí.

ic

Mikulas Dite napsal(a):

Každopádně to je stejně jenom úprava těch dat, posílá se to normálně. Teoreticky by to šlo udělat přes js.

Tohle jsme jednou zkoušel.
Jenže… když se ale dělá hash hesla už na straně klienta javscriptem musí se stejně heslo spojit s (například) tokenem. Jinak by to po cestě šlo odposlechnout a případně poslat stejně dobře jako heslo nešifrované, jen by pak útočník neznal pravé heslo. No a pokud se připojí token k heslu a hash se provede javascriptem tak je zase nutné mít na serveru heslo v čitelné podobě aby se dalo porovnat… samé nevýhody.

kravčo

ic napsal(a):

No a pokud se připojí token k heslu a hash se provede javascriptem tak je zase nutné mít na serveru heslo v čitelné podobě aby se dalo porovnat…

Prečo? Nestačí poslať hash($token . hash($password))?

ic

kravčo napsal(a):

Prečo? Nestačí poslať hash($token . hash($password))?

Jo, to vypadá dobře… to mě nenapadlo… díky. XD