Discussion :

[gwinyam]

Salut à tous!

Je suis en train de coder une petite fonction avec l'aide de jQuery, celle-ci permet de vérifier que des champs désignés sont bien remplis.
Dans le lot, il y a un champ de type password.

Hors pour valider, je vérifie que la valeur n'est pas nulle. Et là, avec un debugger javascript de base (firebug de Firefox ou même debugbar d'IE), on peut choper à la volée "grâce" à mon script la valeur non cryptée du mot de passe vu que je dois la capturer pour la soumettre au test.

Comment dois-je faire pour juste récupérer la longueur par exemple plutôt que la valeur?
ça me tente moyen que même si je peux crypter avant d'envoyer au serveur, on puisse la récupérer depuis le navigateur...

[V.G.T]

Bonjour,
Je ne pense pas que le JS permet de faire ca;
une connexion "https" permet de crypter les donné envoyées.
mais en local le mot de passe pourra toujours être visible.
--
http://vgt.fr

[gwinyam]

C'est ce que je viens de voir, de toute façon, même sans chercher à récupérer la valeur avec javascript, l'explorateur de DOM de Firebug permet de trouver cette valeur, donc quoi qu'il arrive, c'est mort pour crypter en local.

Donc je vais essayer de m'atteler à une transmission qui elle soit protégée, qu'il y ait au moins ça.

Merci quand même!

[sebhm]

Bonjour,

j'ai pas bien compris le probleme.

on peut choper à la volée

c'est qui "on" ?
l'utilisateur saisit son mot de passe ,et c'est lui meme qui peut le choper à la volée ??

et puis un champ de type password n'est pas crypté, ce n'est que visuel

[gwinyam]

En fait si, t'as très bien compris, effectivement, lorsqu'il saisit son mot de passe, il peut ensuite le choper par le biais d'un explorateur DOM tout bête.

Alors jusque là, rien de révolutionnaire, mais je me pose quand même la question suivante: et si la personne laisse son pc 5 minutes de côté sans surveillance et sans s'être loggé. N'importe qui peut donc aller sur son poste, récupérer le mot de passe (même si pas enregistré par le navigateur) et tcho la compagnie, au revoir le mot de passe. Je sais qu'en général quelqu'un d'un peu consciencieux verrouillerait sa session, mais honnêtement, qui n'a jamais oublié?

[Arnaud F.]

En même temps, il n'y a pas besoin d'aller aussi loin, si c'est le cas et qu'il a abandonné son poste, il suffit d'aller dans les préférences du navigateur pour avoir tous les mots de passe en clair...

[sebhm]

oui , c'est sûr que tu te bats contre un truc auquel tu peux pas grand chose ...

et comment tu gères le post-it sur l'écran ?

[gwinyam]

Le coup d'enregistrer le mot de passe, je peux rien faire, ni contre le mot de passe. Mais j'avais l'espoir qu'on pourrait faire mieux que ça...
Bon, tant pis. Je vais refouler mes envies de sécurité sur autre chose