"Gonzalo Rivero" <fishfromsa...@gmail.com> escribió:
> El lun, 22-10-2012 a las 13:31 -0400, isla...@infomed.sld.cu escribió:
>> "Gonzalo Rivero" <fishfromsa...@gmail.com> escribió:
>>
>> > El lun, 22-10-2012 a las 13:14 -0400, isla...@infomed.sld.cu escribió:
>> >> Hola amigos quería preguntarles a lo mejor alguno de ustedes tiene
>> >> alguna forma de hacerlo, estoy haciendo un sistema que hace peticiones
>> >> de de autorización http a una dirección pero cuando miro con el
>> >> firebug puedo ver los parámetros de las variables username y password
>> >> y eso seria una fuga cualquiera que tenga firebug podrá ver estos
>> >> datos, esta es la rutina que uso es esta:
>> >>
>> >> function codificar_entrada(user, pass) {
>> >> var tok = user + ':' + pass;
>> >> var hash = Base64.encode(tok);
>> >> return "Basic " + hash;
>> >> }
>> >>
>> >>
>> >> //-------------------------------------------------------------|
>> >> OpenLayers.Request.issue({
>> >> async: false,
>> >> url: "/geoserver/j_spring_security_check",
>> >> scriptTag: true,
>> >> headers : { Authorization : codificar_entrada('admin','12')
},
>> >> method: "POST",
>> >> params: {
>> >> username: "admin",
>> >> password: "12"
>> >> }
>> >> });
>> >>
>> > no entendí, admin y 12 están dentro del código o vienen de algún
>> > formulario?
>> > Si es lo primero (parte del código, tal como se ve aquí) entonces podés
>> > codificarlo por afuera con algo mas complicado que base64, por ejemplo
>> > md5 o sha256. Entonces headers te quedaría algo como:
>> > headers : { Authorization :
>> > bbbc17c2f7b032727ff15ae32181171a93da5fe3a92ae09318193281b4361e46
>> Pero no es la complejidad sino que os datos se ven desde la consola
>> del firebug, y es lo qeu queiro corregir, , o sea, lo que esta dentro
>> de params, es deccir, username y password
>>
>> params: {
>> username: "admin",
>> password: "12"
>> }
>>
>> y lo que quiero es que eso no se pueda ver, de todas formas si tienes
>> esas librerías porfa envíamelas también para comejizar mas el sistema,
>> dime si ya entendiste lo que quiero
> es que si viene de algún campo en algún formulario, por ejemplo el
> típico login/pass que carga el usuario, va a poder verlo... de todas
> formas ya lo sabía (tiene que saberlos para poder escribirlos)
> Si son datos fijos, que forman parte del código, como parece ser en el
> ejemplo, también va a poder verlos a menos que se lo compliques de
> alguna manera.
> Entonces, si el usuario y contraseña salen de un formulario, está bien
> lo que estás haciendo porque por la red no van a viajar datos en texto
> claro porque los cifraste antes. Y si es fijo, te conviene dejarlo en el
> código como te decía enel mail anterior. md5sum, shaXXsum y todos esos
> son programas de consola que ya deberías tener instalados, como parte
> del paquete coreutils
Es fijo el usuario y el pass, pero no tengo esas librerías, no tengo
ahora mismo ningún repo instalado, pero eso seria a nivel de archivo,
y me gustaría que fueran todo puro del mismo lenguaje, no me gustaría
incorporarle algo externo
