J'essaie actuellement de modifier une application GWT-Ext existante, qui utilise des mots de passe en texte clair dans sa base de données MySql. Mon plan était d'utiliser les hachages md5, car les mots de passe existants peuvent être facilement modifiés avec la fonction MySql et je m'attendais à trouver une solution facile pour le côté GWT-Ext. Mais comme je l'ai découvert, java.security n'est pas supporté par GWT et il ne semble pas y avoir d'autre implémentation qui puisse être utilisée pour changer la chaîne de mot de passe en un hachage md5 du côté client.hachage md5 pour la chaîne de mot de passe dans GWT/GWT-Ext?
seule « solution » je l'ai trouvé jusqu'à présent, est de nouveau mettre en œuvre une méthode md5 via JSNI comme décrit ici: http://groups.google.com/group/Google-Web-Toolkit/browse_thread/thread/ad09475a9944c9f8
Il existe une extension d'utilisateur existant pour Ext-JS, mais je ne pouvais pas trouver quoi que ce soit pour GWT-Ext: http://extjs.com/forum/showthread.php?p=133516
Est-ce que quelqu'un connaît un moyen plus élégant/simple pour résoudre ce problème? Peut-être que je devrais utiliser quelque chose d'autre au lieu de md5 pour m'assurer que les mots de passe sont cryptés?
Vive Frank
Ce n'est pas une mauvaise idée s'il fait quelque chose comme cram-md5 côté client, où le client calcule un hmac (md5 hash plus un nonce sel) et l'envoie au serveur. L'inconvénient est que le serveur a besoin d'un mot de passe en clair pour vérifier le hmac. –
bon point sur les attaques arc-en-ciel, ne savait pas à ce sujet avant. Je l'ai également résolu en faisant le cryptage côté serveur, mais l'idée était, que je voulais crypter le mot de passe, avant de l'envoyer au serveur, car nous utilisons actuellement seulement http et non https. – FrankS
GWT est côté client et côté serveur. A part ça, le post est un bon conseil. Ne pas le hacher du côté client. Jetez un oeil à http://www.owasp.org/index.php/Hashing_Java. –