passar dados do form pelo ilegiveis

como faco em php para passar dados ilegivel no navegador para o usuario

talvez md5?

que nem aparece aqui no forum veja:

http://forumgdh.net/posting.php?mode=newtopic&f=10&sid=29e4b1e80783f05 48367db951f9d2992 Se você está se referindo a esta parte (sid=29e4b1e80783f0548367db951f9d2992), isto não é "ilegível". Este é o número da sessão destinada ao usuário. Quanto ao md5, certa vez vi em uma discussão (creio que até aqui no fórum), que tu podes encriptar, mas não fazer o contrário. Não sei até que ponto chegou a discussão, mas aí já abro a pergunta: para que encriptar se não se pode desencriptar? :?

Me corrijam se estiver errado... rwar e verdade? por isso num tava conseguindo usar o md5 O Hash MD5 é usado quando o destinatário da mensagem não quer ou não precisa descriptografar a mensagem. P.ex., quando eu quero fazer um "check" de integridade num arquivo, eu posso usar um hash md5, e enviar junto. Quem receber a mensagem pode calcular novamente o hash, e comparar com o que eu enviei. Se bater, o arquivo está íntegro. Em compensação, é impossível chegar à mensagem original a partir do Hash.

Isso pode ser muito prático, por exemplo, se eu tiver uma página HTTPS pra autenticar; nela, eu pego usuário e senha, e calculo um hash md5, passo de volta pro usuário. O usuário então pode me passar de volta esse hash quando quiser acesso, sem precisar se autenticar de novo, e como não tem como recuperar o texto original, o nome de usuário e a senha dele estão seguros. Que problema se vazar esse hash, não? :P Não... normalmente qdo se usa nesse esquema que eu citei (substituindo usuário+senha) vc amarra tb ao IP do usuário. Aí, se vier de um IP diferente, já está inválido. IP flooding??? :mrgreen: Brincadeiras à parte, se sabe que todo tipo de encriptação será quebrada algum dia, mas ruim é não utilizar... :P O termo é "IP Spoofing". Mas sem esquecer que, a menos que esteja na rede local, e em hub, o Spoofing é "cego" (vc consegue enviar, mas não consegue receber).

Da mesma forma, qdo se faz isso, vc não vai deixar uma sessão aberta indefinidamente. Normalmente se associa a sessão a um cookie com validade limitada, e coloca-se a informação lá dentro. Assim, mesmo que o agressor use a mesma máquina que o usuário validado, a sessão vai ser inválida (o cookie vai estar expirado). E se o agressor for olhar dentro do cookie, ele não vai ter como recuperar a informação que gerou o hash (pois o hash é irreversível). Tá cercado pelos sete lados, maninho :mrgreen: Porque freqüentemente não é necessário. Digamos que você queira armazenar a senha do usuário em um banco de dados. Você pode gerar um hash (MD5, SHA, ...) e armazenar o hash no banco de dados, e não a senha natural. Ou seja, você não quer e não precisa voltar à senha natural. Todo o seu tratamento futuro da senha utilizará o hash. "One way hashes" podem ser utilizados em diversas situações. Bem, md5 pode ser facilmente quebrada, tem inumeros ultilitarios na net que falam sobre isso.
E não é tão seguro assim, pois por exemplo... vamos citar este fórum, ele é feito em phpbb, e todas as senhas de usuarios são criptografadas por md5. Caso vc consiga pegar o md5 de um moderador(não adianta tentar pegar dos admins daqui tá? hehehehehehe) e dezencriptala vc poderá logar com o user dele...

É simples assim... Obrigado pela correção, jqueiroz. :wink:

A todos que responderam, comecei a discussão em função da pergunta do profeta_livre, que era sobre apenas passar as informações criptografadas. E que bela discussão rendeu...

Então voltando a uma resposta para o profeta_livre, de que forma seria o ideal passar as informações (não guardá-las) via web de forma segura? Qual criptografia, hoje em dia, seria mais seguro? Sem viajar por VPN, túneis e sei lá mais o que hein? 8) HTTPS na hora de trocar as senhas, daí pra frente, usar cookies de sessão. Se quiser segurança adicional, HTTPS em toda a sessão. O lance é fazer com que a informação fique inválida se for usada em outra conexão, e/ou em outro momento. Assim, mesmo que o atacante consiga decifrar os dados trocados, eles ficam inúteis.

G-Doria_New, onde que vc viu que MD5 é reversível??? Pode citar alguma fonte??? Eu uso MD5 pra encriptar senha e guarda-las no banco de dados e resgata-las com o MD5 da senha que o usuario digitar, e nunca achei esses programas que desencriptam o MD5, gostaria de testa-los, alguem pode citar exemplos?? Leia esta discussão bem interessante sobre quebra ou não de MD5 e outros métodos de criptografia. Se puder, também leia os artigos que o Herbert colocou. Para quem quer saber sobre como quebrar md5, é só dar uma pesquisada no google e em sites de ""segurança"".

Paro por aqui pq ja faz 3 anos q não levo um cadeado ok? Bom, até onde prestei atenção, estamos apenas conversando sobre a usabilidade ou não do md5, e não sobre colocar isto em prática. jqueiroz, até onde esta conversa fluiu tem necessidade de se pôr um cadeado no tópico? Ou pior, alguém levar uma suspensão por apresentar algum material (link para um artigo, por exemplo) sobre como quebrar o md5?

De qualquer forma, realmente basta fazer uma busca sobre qualquer tipo de encriptação num google da vida para se saber ou não se é seguro o método adotado. Hein???? Cadeado??? Suspensão??? De onde vcs tiraram essa idéia??? 8O

Eu estou perguntando pq o Hash não tem a intenção de ser reversível. Eu sei que o MD5 tem é uma falha de colisão, ou seja, é possível encontrar dois textos originais que gerem o mesmo hash. Isso é ruim, pois no exemplo, o sistema poderia aceitar uma senha diferente como a correta. Infelizmente tem como fazer o caminho de volta no md5 mas não funciona 100%, é bem limitado...
Estou enviando uma mp pro jqueiroz perguntar ao pessoal da equipe se tá ok postar o site de um projeto de hash crack, só pra garantir mesmo :mrgreen: Aí se tiver ok o jqueiroz posta!

Quanto ao assunto da url no php, eu pelo menos sempre uso o br.php.net/base64_encode e o br.php.net/base64_decode, quebra um galho! O ideal não é tentar fazer milagre e sim dificultar um pouco! Infelizmente pra quem conhece quando bater o olho dá pra ter uma idéia que é resultado de um base64_encode!
Agora, se usar a imaginação dá pra fazer algo "ilegível". Um exemplo é usar a classe cast128, lá do phpclasses.org, mas eu nunca usei pra passar dados pela url, só pra guardar senha no banco! :roll:

Puxa, fiquei surpreso de haver reversibilidade(mesmo parcial) pro MD5...

Vou ficar de olho neste tópico! Confesso q eu tbm fiquei surpreso. Achava q pra quebrar um MD5, só na base do brute force, até achar uma soma idêntica.