Discussion :

[Thierry8]

Bonjour,

Est-ce qu'un champ de type hidden réagit de la même manière qu'un champ de type password ? Je m'explique plus clairement, les champs de type password ne conserve pas les données entrées en cache. Est-ce que le champ hidden en fait de même ?

Merci de votre patience.
Thierry

[KiLVaiDeN]

Que veux-tu dire "en cache" ?

Les navigateurs comme IE et Firefox ne conservent en auto complétion que les champs saisies par l'utilisateur. Comme le champs hidden ne peut pas être saisi, il n'est pas sauvegardé.

Par contre, quand tu arrives sur un formulaire, et qu'il y a un champs hidden ayant une valeur mise là par ton programme, un simple "afficher la source" montrera cette valeur. En général, quand il y a des informations à cacher aux utilisateurs, il vaut mieux mettre les valeurs dans la portée dite "session", qui est en fait un espace mémoire sur le serveur, propre à la session de l'utilisateur en cours.

[Thierry8]

Oui mais dans mon cas le champ hidden permet d'accueillir un mot de passe hasher en javascript. C'est donc en javascript que ce champ est renseigné.
Le champ est vide lors de l'envoit de la page.
Doù ma question afin de savoir s'il conserve le mot de passe hasher en cache ? Car un input du type password ne conserve aucune données.

[KiLVaiDeN]

Je ne comprend toujours pas ce que tu veux dire par conserver la valeur de l'input en cache..

Comme je l'ai dit, en ce qui concerne les champs input, seuls les valeurs entrées par l'utilisateur sont conservées en cache.

Après en cache, il y a pleins de choses qui sont conserver.. Et en ce qui te concerne, le javascript fait partie d'un de ces éléments. Donc quelqu'un peut par exemple, aller sur ton site, ne pas valider le formulaire, sauvegarder la page en local, puis modifier le code source HTML, changer le input type="hidden" en input type="text", et voir la valeur générée par ton javascript en direct.

[Thierry8]

Ca n'est pas le problème !

Le champ de type password ne conserve aucune donnée en cache pour éviter par exemple qu'un logiciel espion vienne fouiller dans les pages conservées (historique) et de ce fait trouver le mot de passe.
Un ligiciel peut tout à fait être capable de fouiller dans un champ de type hidden et donc de trouver le mot de passe, même s'il est hasher, il pourra se connecter au site web. D'où la protection du password qui ne conserve rien, que se soit tappé par l'utilisateur ou javascript....

Je ne pense pouvoir être plus clair, comprends tu ?

[KiLVaiDeN]

Oui je comprend ton problème, alors la réponse est simple : ton champs hidden est "gardé en cache".

En fait, je pense que dans le fonctionnement ça se passe comme ça : le navigateur garde en cache les données statiques, y compris le javascript. Du coup quand on accède à l'historique, étant donné que la valeur du champs hidden est renseignée par le javascript, elle sera renseignée de la même façon en statique. J'espère avoir compris ta problématique ce coup-ci !

[Thierry8]

Oui tu as bien compris ! C'est domage !
Donc obligation (pour plus de sécurité) de mettre un autre champ password et de le caché en css ! (pourquoi un autre champ: pour limiter un utilisateur "standard" qui ne touchera pas au code, à un mot de passe de 20 caractères, même si cela n'est pas forcément utile)

Merci à toi pour tes réponses.
Thierry

[KiLVaiDeN]

Et la solution de travailler en session ne te convient pas ? Où peut-être ne s'adapte pas à ton application..