Re: [OT] Esconder params de un POST request
El lun, 22-10-2012 a las 13:31 -0400, islanis@infomed.sld.cu escribió:
> "Gonzalo Rivero" <fishfromsalta@gmail.com> escribió:
>
> > El lun, 22-10-2012 a las 13:14 -0400, islanis@infomed.sld.cu escribió:
> >> Hola amigos quería preguntarles a lo mejor alguno de ustedes tiene
> >> alguna forma de hacerlo, estoy haciendo un sistema que hace peticiones
> >> de de autorización http a una dirección pero cuando miro con el
> >> firebug puedo ver los parámetros de las variables username y password
> >> y eso seria una fuga cualquiera que tenga firebug podrá ver estos
> >> datos, esta es la rutina que uso es esta:
> >>
> >> function codificar_entrada(user, pass) {
> >> var tok = user + ':' + pass;
> >> var hash = Base64.encode(tok);
> >> return "Basic " + hash;
> >> }
> >>
> >>
> >> //-------------------------------------------------------------|
> >> OpenLayers.Request.issue({
> >> async: false,
> >> url: "/geoserver/j_spring_security_check",
> >> scriptTag: true,
> >> headers : { Authorization : codificar_entrada('admin','12') },
> >> method: "POST",
> >> params: {
> >> username: "admin",
> >> password: "12"
> >> }
> >> });
> >>
> > no entendí, admin y 12 están dentro del código o vienen de algún
> > formulario?
> > Si es lo primero (parte del código, tal como se ve aquí) entonces podés
> > codificarlo por afuera con algo mas complicado que base64, por ejemplo
> > md5 o sha256. Entonces headers te quedaría algo como:
> > headers : { Authorization :
> > bbbc17c2f7b032727ff15ae32181171a93da5fe3a92ae09318193281b4361e46
> Pero no es la complejidad sino que os datos se ven desde la consola
> del firebug, y es lo qeu queiro corregir, , o sea, lo que esta dentro
> de params, es deccir, username y password
>
> params: {
> username: "admin",
> password: "12"
> }
>
> y lo que quiero es que eso no se pueda ver, de todas formas si tienes
> esas librerías porfa envíamelas también para comejizar mas el sistema,
> dime si ya entendiste lo que quiero
es que si viene de algún campo en algún formulario, por ejemplo el
típico login/pass que carga el usuario, va a poder verlo... de todas
formas ya lo sabía (tiene que saberlos para poder escribirlos)
Si son datos fijos, que forman parte del código, como parece ser en el
ejemplo, también va a poder verlos a menos que se lo compliques de
alguna manera.
Entonces, si el usuario y contraseña salen de un formulario, está bien
lo que estás haciendo porque por la red no van a viajar datos en texto
claro porque los cifraste antes. Y si es fijo, te conviene dejarlo en el
código como te decía enel mail anterior. md5sum, shaXXsum y todos esos
son programas de consola que ya deberías tener instalados, como parte
del paquete coreutils
> >
> >
> >> Acá ven que lo que pongo en el header lo codifico pero lo que esta en
> >> los params simplemente se ve en la peticiones http con el firebug y es
> >> lo que quiero arreglar. gracias de antemano
> >>
--
(-.(-.(-.(-.(-.(-.-).-).-).-).-).-)
Reply to: