Sujet Précédent Sujet Suivant

PHP - Crypter envoi mdp client/serveur site

Résolu/Fermé
Utilisateur anonyme - Modifié par cyr.havret le 10/06/2012 à 12:09
 Utilisateur anonyme - 11 déc. 2012 à 17:33
Bonjour,

J'écris car je me tord l'esprit mais je ne trouve aucune solution à mon problème.

En effet, je souhaiterais que l'envoi du mot de passe du formulaire (poste client) vers le serveur du site soit chiffré (afin d'éviter aux maxi les conséquences d'un ARP Poisoning) sans passer par le protocole https.

Note: le stockage des mot de passe sont chiffrés en SHA1 sur le serveur base de données.

Form html: 
<form action="connexion.php" method="post"> 
        Veuillez entrer vos identifiants pour vous connecter:<br /> 
        <div class="center"> 
            <label for="username">Nom d'utilisateur</label><input maxlength="70" type="text" name="username" id="username" autocomplete="off" value="<?php echo htmlentities($ousername, ENT_QUOTES, 'UTF-8'); ?>" /><br /> 
            <label for="password">Mot de passe</label><input maxlength="70" type="password" name="password" id="password"  autocomplete="off"/><br> 
            <input type="submit" value="Connexion" name="send"/> <input type="button" value="Inscription" onclick="javascript:document.location.href='sign_up.php'"/> 

  </div> 
</form>


Extrait PHP: 
  if(get_magic_quotes_gpc()) 
  { 
   $ousername = stripslashes($_POST['username']); 
   $username = mysql_real_escape_string(stripslashes($_POST['username'])); 
   $password = sha1(stripslashes($_POST['password'])); 
  }


;) Merci d'avance.

2 réponses

Réponse 1 / 2
aladin07
Messages postés
277
Date d'inscription
vendredi 13 avril 2012
Statut
Membre
Dernière intervention
30 septembre 2012
 30
10 juin 2012 à 13:28
Note:
magic_quotes_gpc() est obsolète en PHP > 5.3.0 et supprimé de PHP > 5.4.0

De?olé mais il n'y a pas de moyen de crypter les $_POST. Mais ne t'inquiéte surtout pas, les ARP Poisoning ne se font jamais à distance. C'est seulement dans les réseaux locals.

http://www.watchguard.com/infocenter/editorial/135324.asp
only local attackers can exploit ARP's insecurities. A hacker would need either physical access to your network, or control of a machine on your local network, in order to deliver an ARP Cache Poisoning attack. ARP's insecurities can't be exploited remotely.
0
Réponse 2 / 2
Utilisateur anonyme
10 juin 2012 à 17:49
Avec wordpress c'était possible pourtant.

Bref, ce n'est pas grave puisque ARP Poisoning fonctionne que en local.

Et merci pour les infos.

Cordialement ;)
0
Utilisateur anonyme
11 déc. 2012 à 17:33
J'ai trouvé la solution:


http://www.cocoapp.eu/2011/02/16/proteger-son-formulaire-de-login-avec-javascript-et-php/
0