[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [OT] Esconder params de un POST request

"Gonzalo Rivero" <fishfromsalta@gmail.com> escribió:


El lun, 22-10-2012 a las 13:31 -0400, islanis@infomed.sld.cu escribió:

"Gonzalo Rivero" <fishfromsalta@gmail.com> escribió:

> El lun, 22-10-2012 a las 13:14 -0400, islanis@infomed.sld.cu escribió:
>> Hola amigos quería preguntarles a lo mejor alguno de ustedes tiene
>> alguna forma de hacerlo, estoy haciendo un sistema que hace peticiones
>> de de autorización http a una dirección pero cuando miro con el
>> firebug puedo ver los parámetros de las variables username y password
>> y eso seria una fuga cualquiera que tenga firebug podrá ver estos
>> datos, esta es la rutina que uso es esta:
>>
>> function codificar_entrada(user, pass) {
>> 	var tok = user + ':' + pass;
>> 	var hash = Base64.encode(tok);
>> return "Basic " + hash;
>> }
>>
>>
>> //-------------------------------------------------------------|
>> OpenLayers.Request.issue({
>>          async: false,
>> 		url: "/geoserver/j_spring_security_check",
>> 		scriptTag: true,
>> 		headers : { Authorization : codificar_entrada('admin','12') },
>>          method: "POST",
>>          params: {
>> 				username: "admin",
>>                  password: "12"
>>          }
>> });
>>
> no entendí, admin y 12 están dentro del código o vienen de algún
> formulario?
> Si es lo primero (parte del código, tal como se ve aquí) entonces podés
> codificarlo por afuera con algo mas complicado que base64, por ejemplo
> md5 o sha256. Entonces headers te quedaría algo como:
> headers : { Authorization :
> bbbc17c2f7b032727ff15ae32181171a93da5fe3a92ae09318193281b4361e46
Pero no es la complejidad sino que os datos se ven desde la consola
del firebug, y es lo qeu queiro corregir, , o sea, lo que esta dentro
de params, es deccir, username y password

params: {
  username: "admin",
  password: "12"
}

y lo que quiero es que eso no se pueda ver, de todas formas si tienes
esas librerías porfa envíamelas también para comejizar mas el sistema,
dime si ya entendiste lo que quiero

es que si viene de algún campo en algún formulario, por ejemplo el
típico login/pass que carga el usuario, va a poder verlo... de todas
formas ya lo sabía (tiene que saberlos para poder escribirlos)
Si son datos fijos, que forman parte del código, como parece ser en el
ejemplo, también va a poder verlos a menos que se lo compliques de
alguna manera.
Entonces, si el usuario y contraseña salen de un formulario, está bien
lo que estás haciendo porque por la red no van a viajar datos en texto
claro porque los cifraste antes. Y si es fijo, te conviene dejarlo en el
código como te decía enel mail anterior. md5sum, shaXXsum y todos esos
son programas de consola que ya deberías tener instalados, como parte
del paquete coreutils
Es fijo el usuario y el pass, pero no tengo esas librerías, no tengo ahora mismo ningún repo instalado, pero eso seria a nivel de archivo, y me gustaría que fueran todo puro del mismo lenguaje, no me gustaría incorporarle algo externo 


>
>
>> Acá ven que lo que pongo en el header lo codifico pero lo que esta en
>> los params simplemente se ve en la peticiones http con el firebug y es
>> lo que quiero arreglar.  gracias de antemano
>>





--
(-.(-.(-.(-.(-.(-.-).-).-).-).-).-)



--
To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Archive: [🔎] 1350928003.2528.35.camel@EeePC.ucasal.ar">http://lists.debian.org/[🔎] 1350928003.2528.35.camel@EeePC.ucasal.ar






----------------------------------------------------------------
This message was sent using IMP, the Internet Messaging Program.


--

Este mensaje le ha llegado mediante el servicio de correo electronico que ofrece Infomed para respaldar el cumplimiento de las misiones del Sistema Nacional de Salud. La persona que envia este correo asume el compromiso de usar el servicio a tales fines y cumplir con las regulaciones establecidas

Infomed: http://www.sld.cu/
Reply to: