Masquage du mot de passe de l'utilisateur en HTML Webforms

Question

Je travaille sur une application de blog en php et javascript. J'utilise Windows Live ID pour l'authentification. L'utilisateur doit fournir un mot de passe pour l'écriture en direct de Windows, car l'éditeur en direct ne peut pas utiliser l'identifiant en direct.

Je souhaite autoriser l'utilisateur à modifier son mot de passe dans un formulaire Web html. Bien que le mot de passe soit tapé dans un champ de mot de passe ne montrant que *, la valeur est clairement visible dans le code HTML. Y at-il des moyens de masquer ou de masquer le mot de passe dans le code HTML? Je ne peux pas utiliser un ancien type/type nouveau mot de passe parce que le mot de passe n'est pas requis. Des idées?

Answer 1

S'ils ne peuvent voir que des caractères «*», ils ne peuvent pas modifier le mot de passe existant, alors ne vous souciez pas de définir la valeur de ce champ de saisie. Laissez-les en saisir une nouvelle à partir de rien. Servir le formulaire de changement de mot de passe et la réponse POSTed sur HTTPS, et non HTTP, pour sécuriser la nouvelle valeur, de même que

Answer 2

Dans la plupart des applications, le mot de passe ne peut pas être retourné à l'utilisateur pour qu'il le modifie. Moi, et la plupart des programmeurs soucieux de la sécurité, hachages leurs mots de passe afin qu'il n'y ait aucune façon possible de trouver le mot de passe original, les applications stockent juste le hachage. Lorsque quelqu'un se connecte au site, il prend le mot de passe fourni, le hache et le compare au hachage stocké pour voir s'il correspond. Cela garantit virtuellement que le mot de passe de l'utilisateur ne peut pas être volé via SQL Injection.