CryptoJS

Michael - op 25/10/2013 14:38:18

Wat als Javascript bij de client uit staat?

Het grappigste van alles is nog dat het er in dat geval helemaal niet toe doet. De >99% clients die JavaScript ondersteunen, verzendt de wachtwoordhash, de rest het wachtwoord zelf. Je kunt dus 100% van de gevallen afdekken.

Maar op het feit na of dit een goede veilige optie is (daar zal denk ik toch elke programmeur een andere visie op hebben, en elke visie zal een voordeel hebben). Weet iemand wat het gene is wat ik fout doe?

Misschien een oplossing als iemand geen javascript aan heeft staan:
Je maakt een aparte afhandeling op de server voor niet ge-encrypte wachtwoorden die daar naartoe worden verzonden omdat javascript uit stond.
Op de pagina van het formulier zet je als action attribuut het adres van deze pagina.
Bij het laden van de pagina laat je het adres in het action attribuut van je form veranderen naar de locatie waar je op de server het wachtwoord wilt ontvangen, als het wel gewoon is ge-encrypt door javascript. Als er geen javascript wordt ondersteund zal dus niet de form action worden veranderd, en zal deze het standaard adres hebben dat je in de broncode in het action attribuut hebt gezet. En dan wordt dus het plain wachtwoord daar naartoe gestuurd en kun je het apart afhandelen.
Als er wel gewoon javascript is ondersteund, wordt dus de action van het formulier veranderd (door js) naar het adres waar het wel gecodeerde wachtwoord naartoe moet worden gestuurd.
Er kan dus in beide gevallen worden ingelogd, js of niet.
Het gaat er alleen om waar je het wachtwoord naartoe stuurt omdat je de goede afhandeling moet doen op de server.
Het is dan wel zo dat als js uit is, dat het wachtwoord alsnog plain wordt verstuurd over internet, maar er kan tenminste worden ingelogd.
Ik kan helaas geen oplossing verzinnen voor als iemand HTML uit heeft staan.. :P

Jan terhuijzen op 26/10/2013 11:32:16

Misschien een oplossing als iemand geen javascript aan heeft staan:
Je maakt een aparte afhandeling op de server voor niet ge-encrypte wachtwoorden die daar naartoe worden verzonden omdat javascript uit stond.

Je kunt een hash vaak herkennen aan de vaste lengte en de gebruikte karakters. Bij SHA512 is dat bijvoorbeeld een hexadecimale waarde (0 t/m f) van 128 karakters:

<?php
for ($i = 0; $i < 100; $i++) {
    $charset = '0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz';
    $password = substr($charset, 0, mt_rand(8, 12));
    $hash = hash('sha512', $password);
    echo '<pre>';
    var_dump($hash);
}
?>

Hallo,

Dan gaat het wachtwoord dus alsnog plain over de lijn, dat wou ik juist voorkomen. Maak denk ik een systeem die decteert of het uitstaat en dan de gebruiker verzoekt het in te schakelen. Maar wat ik bedoelde met oplossing was eigenlijk de oplossing van het probleem dat ik in de 1e post had staan.

Matthijs Vos op 26/10/2013 15:14:54

Maar wat ik bedoelde met oplossing was eigenlijk de oplossing van het probleem dat ik in de 1e post had staan.

Als de $_POST leeg is in PHP, laat dan eens iets meer code van het formulier zien?

Dit is het formulier:

[code lang=html]
<form id="form" method="POST" class="loginform">
Leerlingnummer:<input name="id" id="llnmr" class="llnmr" />
Wachtwoord:<input name="password" type="password" id="wachtwoord" class="wachtwoord" />
<input type="submit" id="submit" name="send" class="submit" value="Login"/>
</form>
[/code]

En dit de javascript (verkort):

[code lang=js]
( "#submit" ).click(function() {//als er op submit wordt gedrukt

var password = form.password.value; // password ophalen
var salt = "een waarde"


var hash = CryptoJS.HmacSHA512(password,random);
var editedpw = CryptoJS.HmacSHA512(""+hash+"",salt);


form.password.value = editedpw;
});

[/code]

Hoe de salt gemaakt word laat ik even achterwegen, maar dat werkt goed.