[php] sicurezza password form login

[fratt]

Ciao a tutti.
Prima discussione... speriamo di non fare cazzate al primo colpo...
In questo periodo mi sto documentando un po' sulla sicurezza. Tra i vari contenuti che ho letto in giro, in uno si faceva riferimento all'invio della password in chiaro dai form di login. Suggerivano di fare l'hash della password tramite javascript prima di inviare il form, per evitare appunto l'invio della password in chiaro.

Premesso che le soluzioni javascript non mi piacciono molto, conoscete un modo in php per criptare la password prima dell'invio della form?
Ha senso porsi questo problema, considerando che uso https?

Nel database salvo ovviamente l'hash delle password (generato con password_hash) e le verifiche le faccio con password_verify. Tra l'altro qui sul forum ho letto qualcuno che sconsiglia l'uso di queste funzioni... non capisco perché visto che sono quelle consigliate sulla documentazione php... ma questa è un'altra storia.

 

[Flaviors200]

Cosa intendi per "invio della password in chiaro"?

Se ti riferisci al fatto che digitando la password nel campo di testo, questa possa essere letta a schermo da qualcuno, utilizza un campo di tipo password (presumo tu lo faccia già ).

Se ti riferisci all'invio in chiaro dopo il submit del form, ci pensa HTTPS a crittografare i dati (password compresa).

Chi ti ha detto che sbagli ad usare password_hash() per generare l'hash sbaglia lui... a meno che si riferiva al tipo di funzione di hash utilizzata. Quella di default (con la costante PASSWORD_DEFAULT) è bcrypt, che va più che bene per memorizzare le password in maniera sicura.

 

[Max 1]

Prima discussione... speriamo di non fare cazzate

Come prima discussione? Il tuo conteggio dice 33 messaggi!
Per favore niente parolacce sul forum!
Grazie