El lun, 22-10-2012 a las 13:53 -0400, [email protected] escribió: > "Gonzalo Rivero" <[email protected]> escribió: > > > El lun, 22-10-2012 a las 13:31 -0400, [email protected] escribió: > >> "Gonzalo Rivero" <[email protected]> escribió: > >> > >> > El lun, 22-10-2012 a las 13:14 -0400, [email protected] escribió: > >> >> Hola amigos quería preguntarles a lo mejor alguno de ustedes tiene > >> >> alguna forma de hacerlo, estoy haciendo un sistema que hace peticiones > >> >> de de autorización http a una dirección pero cuando miro con el > >> >> firebug puedo ver los parámetros de las variables username y password > >> >> y eso seria una fuga cualquiera que tenga firebug podrá ver estos > >> >> datos, esta es la rutina que uso es esta: > >> >> > >> >> function codificar_entrada(user, pass) { > >> >> var tok = user + ':' + pass; > >> >> var hash = Base64.encode(tok); > >> >> return "Basic " + hash; > >> >> } > >> >> > >> >> > >> >> //-------------------------------------------------------------| > >> >> OpenLayers.Request.issue({ > >> >> async: false, > >> >> url: "/geoserver/j_spring_security_check", > >> >> scriptTag: true, > >> >> headers : { Authorization : > >> >> codificar_entrada('admin','12') }, > >> >> method: "POST", > >> >> params: { > >> >> username: "admin", > >> >> password: "12" > >> >> } > >> >> }); > >> >> > >> > no entendí, admin y 12 están dentro del código o vienen de algún > >> > formulario? > >> > Si es lo primero (parte del código, tal como se ve aquí) entonces podés > >> > codificarlo por afuera con algo mas complicado que base64, por ejemplo > >> > md5 o sha256. Entonces headers te quedaría algo como: > >> > headers : { Authorization : > >> > bbbc17c2f7b032727ff15ae32181171a93da5fe3a92ae09318193281b4361e46 > >> Pero no es la complejidad sino que os datos se ven desde la consola > >> del firebug, y es lo qeu queiro corregir, , o sea, lo que esta dentro > >> de params, es deccir, username y password > >> > >> params: { > >> username: "admin", > >> password: "12" > >> } > >> > >> y lo que quiero es que eso no se pueda ver, de todas formas si tienes > >> esas librerías porfa envíamelas también para comejizar mas el sistema, > >> dime si ya entendiste lo que quiero > > es que si viene de algún campo en algún formulario, por ejemplo el > > típico login/pass que carga el usuario, va a poder verlo... de todas > > formas ya lo sabía (tiene que saberlos para poder escribirlos) > > Si son datos fijos, que forman parte del código, como parece ser en el > > ejemplo, también va a poder verlos a menos que se lo compliques de > > alguna manera. > > Entonces, si el usuario y contraseña salen de un formulario, está bien > > lo que estás haciendo porque por la red no van a viajar datos en texto > > claro porque los cifraste antes. Y si es fijo, te conviene dejarlo en el > > código como te decía enel mail anterior. md5sum, shaXXsum y todos esos > > son programas de consola que ya deberías tener instalados, como parte > > del paquete coreutils > Es fijo el usuario y el pass, pero no tengo esas librerías, no tengo > ahora mismo ningún repo instalado, pero eso seria a nivel de archivo, > y me gustaría que fueran todo puro del mismo lenguaje, no me gustaría > incorporarle algo externo es parte de coreutils, podés probar en la consola esto: cat | md5sum hola mundo ^D y la salida va a ser algo como: "1e04bb3f9f396d3b71d93d326ebfc42d" . Por supuesto, también valen sha256sum , sha512sum,...
Y como es un campo fijo, podés dejarlo pre-calculado, total solo te interesa esa cadena > > > >> > > >> > > >> >> Acá ven que lo que pongo en el header lo codifico pero lo que esta en > >> >> los params simplemente se ve en la peticiones http con el firebug y es > >> >> lo que quiero arreglar. gracias de antemano > >> >> > > > > > > > > > > -- > > (-.(-.(-.(-.(-.(-.-).-).-).-).-).-) > > > > > > > > -- > > To UNSUBSCRIBE, email to [email protected] > > with a subject of "unsubscribe". Trouble? Contact > > [email protected] > > Archive: http://lists.debian.org/[email protected] > > > > > > > > ---------------------------------------------------------------- > This message was sent using IMP, the Internet Messaging Program. > > > -- > > Este mensaje le ha llegado mediante el servicio de correo electronico que > ofrece Infomed para respaldar el cumplimiento de las misiones del Sistema > Nacional de Salud. La persona que envia este correo asume el compromiso de > usar el servicio a tales fines y cumplir con las regulaciones establecidas > > Infomed: http://www.sld.cu/ > > -- (-.(-.(-.(-.(-.(-.-).-).-).-).-).-) -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected] Archive: http://lists.debian.org/[email protected]
