javascript - Md5 på password. - Udvikleren.dk - Programmering, webdesign og grafik

Tags: javascript

Bruger #11875 @ 07.03.09 21:11

Hej udviklere.
Jeg står med et problem. som skal løses hurtigt.
jeg har en chat lavet med flash. den bruger javascript popup som vindue, samt henter information fra javascript.

Kode

function popupLogin() {
	// check to make sure a valid username has been entered
	if (!formIsValid()) return;

	var username = document.login.username.value;
	var password = document.login.password.value;
	var lang = document.login.lang.value;

	// the size of the popup window
	var width = 800;
	var height = 600;

	// the x,y position of the popup window
	// NOTE: this formula will auto-center the popup on the screen
	var y = (screen.height - height) / 2;
	var x = (screen.width - width) / 2;

	var url = 'flashchat.php?username=' + username + '&password=' + password + '&lang=' + lang;
	var options = 'width=' + width + ',height=' + height + ',top=' + y + ',left=' + x + ',resizable';

	// open the chat window as a popup, instead of embedded in webpage
	window.open( url, 'chat', options );
}

Som i kan se er passworded ikke krypteret på nogen måde. og flash chatten henter password og skriver det i adresselinjen.. :/

(adresse ser så sådan ud: http://chat.****.dk/chat.php?username=Brugernavn&password=mypasswordd&lang=da)

det der mypassword, vil jeg gerne have lavet om til md5. Hvordan gør jeg dette hvor popup stadig virker

takker på forhånd.

4 svar postet i denne tråd vises herunder
1 indlæg har modtaget i alt 1 karma

Sorter efter stemmer Sorter efter dato

Bruger #3143 @ 07.03.09 22:17

1.965

Du kan ikke bruge MD5 til noget her. MD5-summen vil stadig være i adresselinjen og blive gemt i browserhistorikken og en masse andre steder, og andre vil kunne "logge ind" med samme URL.

Der er flere forskellige ting du kan gøre her. Du kan fx sende brugernavn og password til en server, som så genererer en ticket (ikke at forveksle med session id) som kan bruges af popupen til at bekræfte brugerens identitet.

Altså:
main.html sender brugernavn og password til login.php, fx via XMLHttpRequest og får en ticket tilbage.
main.html åbner popup.html i et popupvindue, hvor ticket er en del af url'en
popup.html læser ticket fra url'en og bruger den til at hente de nødvendige oplysninger frem for brugeren.

En alternativ metode er at lave lidt JavaScript i popup.html, som henter brugernavn og adgangskode (forudsætter at main.html og popup.html ligger på samme domæne, og så vil almindelige cookies også kunne bruges). Det kan gøres således i popup.html:

var username = window.opener.document.login.username.value;
var password = window.opener.document.login.password.value;
var lang = window.opener.document.login.lang.value;

Men hvorfor i det hele taget bruge noget så irriterende som et popup-vindue?

Indlæg senest redigeret d. 07.03.2009 22:19 af Bruger #3143