Jump to content

Transferência de Dados Encriptados entre Cliente e Servidor Web


AdrianoFigueiredo
 Share

Recommended Posts

Olá P@P, tudo bem?

Estou com seguinte dúvida:

Na transferência de dados entre páginas.php..., exemplo concreto:

Num Sistema de Login os dados são submetidos (através do método post) para o verificalogin.php, que por sua vez (em caso de sucesso) redireciona o utilizador...

Visto que o método HTTP POST envia os dados em formato de texto, estes ficam visíveis a qualquer utilizador mal intencionado...

Já estive a pesquisar..., e os exemplos que encontro são:

Formulários.php que submetem os dados através do método HTTP POST para outras paginas.php e ou Formulários fazem todo o processo (entrada de dados e verificação) no mesmo ficheiro.php.

Porém há quem fale..., de:

  • Utilização de Javascript no lado do cliente para encriptar os dados (Scrpit que é visível do lado do cliente, logo é possível ver o mecanismo de encriptação utilizado...)

  • Combinação de https com método POST...

E a minha questão é a seguinte:

Qual será a melhor forma de submeter os dados entre paginas.php (ou seja, que os dados naveguem até ao Servidor Web) de forma encriptada?

Agradeço, desde já, a vossa disponibilidade.

Edited by AdrianoFigueiredo
Link to comment
Share on other sites

(...) A palavra passe do utilizador é encriptada em md5() e é esta string que guardas na bd.

ignora isto. Se usares https a comunicação é encriptada correspnmdendo a comunicação por chaves públicas e privadas e, ...... My mistake 😕

Edited by Virneto

"Que inquieto desejo vos tortura, Seres elementares, força obscura? Em volta de que ideia gravitais?" >> Anthero de Quental

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Linuxando.com | ...

Link to comment
Share on other sites

Acrescentando também que as passwords não andam para trás e para a frente de cada vez que é feito o loggin. A palavra passe do utilizador é encriptada em md5() e é esta string que guardas na bd. quando o utilizador insere a password para validar passas por md5 e comparas com o que tens na bd

isso é completamente irrelevante na protecção dos dados enviados pela rede

IRC : sim, é algo que ainda existe >> #p@p
Link to comment
Share on other sites

Tens de adquirir um certificado ou criar um se for para utilização interna e o servidor estiver sob teu controlo. Se optares por certificados auto-assinados, criados por ti, o browser do utilizador vai apresentar uma página de aviso, que é tipicamente vermelha e que os utilizadores raramente lêem, logo não vão aceder ao site.

Se for para uso interno, uma aplicação onde os utilizadores tenham conhecimento de que o aviso de segurança é normal, e se tiveres acesso ao servidor, então um certificado auto-assinado serve. Se for para utilização pública ou em alojamentos partilhados vais precisar de adquirir um certificado a uma empresa de certificação.

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share

×
×
  • Create New...

Important Information

By using this site you accept our Terms of Use and Privacy Policy. We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.