Стоит ли шифровать пароль передаваемый ajax`ом?

Question

[Дмитрий]

Занялся изучением ajax. И вот натолкнуло меня на мысль. А если данные передаются например ajax методом post. И передача идет в теле заголовка. так вот не могут ли быть такие данные перехвачены? И стоит ли об этом заморачиваться? Или встраивать лучше php обработчик в документ с формой. в php есть хотя бы md5

Answer 1

[riot26]

Пытаетесь изобрести HTTPS?
Ajax или форма – по барабану, для атакующего выглядит одинаково.
Об md5 для паролей забудьте. Совсем.

Comments

[Дмитрий]

тоесть, пока не попадут данные в обработчик смысла особо нету что то выдумывать? Ну md5 это так знаю что есть и что перебором все же ломается. Другие шифровки пока не интересовался

[riot26]

kaktys123: при использовании HTTPS можно не думать о паролях на стороне клиента. Хранение паролей на сервере – уже отдельная тема.
https://www.youtube.com/watch?v=JGP3Tk4pWI8
https://www.youtube.com/watch?v=LpI1v7KYc0Q

Answer 2

[xmoonlight]

1. Хотите разобраться в шифровании? Учите принципы создания REST-API и технологии создания шифрованного канала. Затем, через годик-два, спросите то, чего не понимаете.
2. Не хотите - используйте HTTPS и передавайте обычным способом.

Или встраивать лучше php обработчик в документ с формой. в php есть хотя бы md5

В JS - тоже много чего есть из хеширования! Только без знаний создания защищённого канала - Вам ничего не поможет.

Answer 3

[Rou1997]

Или встраивать лучше php обработчик в документ с формой. в php есть хотя бы md5

А AJAX-запросы разве бывают без PHP обработчика?

Comments

[Дмитрий]

ну я имею в виду можно обработчик вынести во внешний файл а можно в том где форма написать php легко в html встраивается. а ajax запрос так то куда хочешь туда и шли. на PHP обработчик или на другом языке www.json.org/json-ru.html

[Rou1997]

kaktys123: Что значит "куда хочешь"? Кто хочет?

[Дмитрий]

Rou1997: ты как разработчик можешь обработчик не на php писать а на с++. и туда ajax`ом слать данные. еще есть такая фитча, но я не вникал. можно с другого сайта себе на сайт инфу брать. например прогноз погоды или расписание поездов. или просто другой файл подгрузить можешь в документ. ajax не только для форм. поэтому не только для обработчика или только php

[Rou1997]

kaktys123: Все это я знаю получше вас, но причем здесь фишинг?
Туда, где вводятся пароли, то есть на чужом компьютере, я ничего подгрузить не могу.

[Дмитрий]

ты нет. а если кто то захочет сломать сайт? например регистрация и вход пользователя на ajax и все данные летят в заголовках Post`ом

[Rou1997]

kaktys123: Ты сперва определись, сайт он хочет "сломать", или пароль украсть! И причем здесь AJAX, ты так и не объяснил.
В HTTP-заголовках нет никаких данных, так что ты несешь бред, хватит уже, если еще раз напишешь бред, следующий комментарий просто проигнорирую и сиди там думай что хочешь.

Answer 4

[Дмитрий]

Rou1997: а это что тебе не пост?
вот тебе пост

вот тебе гет

$.get(
  "ajaxtest.php",
  {
    param1: "param1",
    param2: 2
  },
  onAjaxSuccess
);
 
function onAjaxSuccess(data)
{
  // Здесь мы получаем данные, отправленные сервером и выводим их на экран.
  alert(data);
}

вот простой код.

на скрине все параметры переданые. Все в заголовке летит. Я может и меньше тебя знаю, но что то знаю.

вот тебе еще и сами заголовки


если ты не знал.

Comments

[Rou1997]

Нет, это не заголовки запроса, а тело запроса. Доказывать не собираюсь, так же как и про безопасность AJAX, тебе не нужна правда, тебе нужно оставаться при своем мнении, зачем вопрос-то задал?

[Дмитрий]

Rou1997: я вот и спрашивал стоит ли избавляться от передачи так в открытую приватных данных

[Rou1997]

kaktys123: kaktys123: Не стоит, злоумышленник не может просто так вмешаться в чужой IP-канал, только если он на клиент установит вирус.