[php] sicurezza password form login

fratt

Nuovo Utente
19 Gen 2019
33
4
8
Ciao a tutti.
Prima discussione... speriamo di non fare cazzate al primo colpo...
In questo periodo mi sto documentando un po' sulla sicurezza. Tra i vari contenuti che ho letto in giro, in uno si faceva riferimento all'invio della password in chiaro dai form di login. Suggerivano di fare l'hash della password tramite javascript prima di inviare il form, per evitare appunto l'invio della password in chiaro.

Premesso che le soluzioni javascript non mi piacciono molto, conoscete un modo in php per criptare la password prima dell'invio della form?
Ha senso porsi questo problema, considerando che uso https?

Nel database salvo ovviamente l'hash delle password (generato con password_hash) e le verifiche le faccio con password_verify. Tra l'altro qui sul forum ho letto qualcuno che sconsiglia l'uso di queste funzioni... non capisco perché visto che sono quelle consigliate sulla documentazione php... ma questa è un'altra storia.
 

Flaviors200

Nuovo Utente
2 Gen 2019
6
0
1
Cosa intendi per "invio della password in chiaro"?

Se ti riferisci al fatto che digitando la password nel campo di testo, questa possa essere letta a schermo da qualcuno, utilizza un campo di tipo password (presumo tu lo faccia già :)).

Se ti riferisci all'invio in chiaro dopo il submit del form, ci pensa HTTPS a crittografare i dati (password compresa).

Chi ti ha detto che sbagli ad usare password_hash() per generare l'hash sbaglia lui... a meno che si riferiva al tipo di funzione di hash utilizzata. Quella di default (con la costante PASSWORD_DEFAULT) è bcrypt, che va più che bene per memorizzare le password in maniera sicura.
 

Max 1

Super Moderatore
Membro dello Staff
SUPER MOD
MOD
29 Feb 2012
4.071
299
83
Prima discussione... speriamo di non fare cazzate
Come prima discussione? Il tuo conteggio dice 33 messaggi!
Per favore niente parolacce sul forum!
Grazie