Скрывать / Шифровать значения передаваемые из HTML в Javascript?

Question

[Vitali]

Я делаю небольшой чатик на основе протокола XMPP и библиотеки StropheJS.


Проблема заключается в том что StropheJS принимает все пароли исключительно в открытом виде что меня не может не неврировать, таким образом достаточно посмотреть в исходный код что бы увидеть пароль пользователя, да и хранить пароли пользователей в открытом виде тоже нет никакого желания, сами понимаете.


Вопрос — Как скрыть или шифровать пароль что бы при этом, Strophe всё ещё мог подключиться.


Небольшая картинка призванная пояснить что я имею ввиду.


В полный размер


В перспективе, этот чат будет внедрён в один проект с полноценной базой данных где пароли будут хранится в виде хэша, SHA-1 или аналогичный и они должны будут каким-то образом передаваться Strophe.

Answer 1

[Алексей Сундуков]

Если цель — защита от перехвата, то самое разумное — HTTPS.

Answer 2

[Сергей]

Алгоритм такой:

1. Пароль шифровать, например, в мд5. Можно раза три для мнимой надежности
2. Отправлять хэш
3. Сравнивать отправленный хэш с хэшем пароля из бд

нагуглил ссылку, может поможет: jscript.ru/archives/8

Comments

[Vitali]

Я так и подумал, но как я и сказал, Strophe для подключения нужен пароль в открытом виде. Я не думаю что он будет нормально работать с хэшами.

[Сергей]

Пароль — текстовая строка. и хэш — текстовая строка. Не думаю, что должны быть проблемы. Или я что-то не понимаю и туплю?

[Vitali]

Передать то я строку передам но разве Strophe не будет думать что хэш который я ему передаю, является паролем в открытом виде и пытатся с ним подключится к серверу?

[Сергей]

metajack.im/2011/06/19/strophejs-102-released/
The DIGEST-MD5 SASL method used a constant client nonce due to a bug in Strophe's use of the underlying MD5 library

Он должен уметь это делать, имхо.

[Vitali]

Ага, вижу.

Strophe.Connection

XMPP Connection manager.
Thie class is the main part of Strophe. It manages a BOSH connection to an XMPP server and dispatches events to the user callbacks as data arrives. It supports SASL PLAIN, SASL DIGEST-MD5, and legacy authentication.

Ещё бы где найти примеры…

[Сергей]

можно спросить на stackoverfow.com

[Vitali]

Пожалуй спрошу сначала в google группе Strophe.
Спасибо за помощь, буду копать.

Answer 3

[mark_ablov]

это трудно, ибо md5-hash для аутентификации берется не только от пароля.

Answer 4

[iStyx]

Используйте HTTPS. Какая разница, перехватит злоумышленник сам пароль или его хэш?