HTML+CSS+JavaScript

Здравствуйте.
Возникла потребность в шифровании данных на уровне клиента, т.е.
Есть некая форма с полями input, textarea, input типа checkbox (галочки), данные с формы передаются на сервер и там обрабатываются php. Хочу обеспечить надлежащую безопасность вводимых пользователем данных, т.е. передаваемые данных от клиента должны быть зашифрованы (зашита от перехвата по каналу связи), далее на сервере текст введённый пользователем рас кодируется, и выполняются различные манипуляции с ним.

Задача состоит в том, как зашифровать данные от пользователя и на стороне сервера расшифровать? То есть обеспечить зашиту информации по каналу связи.

Можно применять всякие синхронные и асинхронные шифрования посредством javascript. А можно не париться и поднять https.

По поводу https - хостер не даёт такую возможность.
Где можно почитать (узнать) по подробнее шифрования средствами javascript?
Только нужно, что бы php смог его расшифровать.

http://phpjs.org/functions/md5:469

MD5 - это не шифрование, а хэширование. Если вы из MD5 сможете извлечь данные - честь вам и хвала. Если только в форме изначально ограниченное количество полей и на сервере проверяются все комбинации по библиотеке готовых md5. Но это во-первых, изврат, а во-вторых, убивает идею шифрования. Если на сервере есть такая библиотека, то и на перехватчике можно ее соорудить.

Автору:
Для шифрования нужен ключ. Ключ, который доступен JS странен.

можно попробовать так: генерировать ключ для каждой сессии или пользователя или запроса на сервере. Загружаем страницу, она тянет аяксом для себя ключ (чтобы он не был в составе страницы). Затем этим ключом шифруем данные по любому шифровальному алгоритму. Пересылаем их на сервер. Сервер по сессии или еще как, определяет что за пользователь прислал ему данные, смотрит какой ключ для этого раза он генерил, пытается расшифровать данные.

Мороки уйма, защита, имхо, вырастет не сильно. Но если надо, то я бы делал как-то так. Может, стоит подключить к шифорванию самого пользователя. Рисовать ему код шифрования как капчу, просить ввести в поле, откуда и читать JS.

Вы вообще что хотите, ботов отбить, пароль спрятать, или каждый комент "шифровать"?

Вообще-то можно и без сессий.

Положим, ключ - это что-то случайное, генерируемое PHP-программой.
Надо вызов ajax-функции повесить на onsubmit формы и задать return false.
По нажатию на SUBMIT аяксом тянется ключ, который сервер генерирует и при генерации СОХРАНЯЕТ в файле keys.txt как отдельную строку +сам js-скрипт шифрования.
По получении ключа и кода шифрования js-скрипт страницы запускает полученный скрипт, шифрует им введённые в текстовые поля данные по этому ключу и сабмитит форму методом submit (), передавая в том числе и ключ, зашифрованный по самому ключу.

Расшифровка "ключа по ключу" с целью получения самого ключа - тривиальная задачка.
PHP-программа её решает и проверяет наличие такового ключа в файле keys.txt. Если он есть - из файла keys.txt строка с ним удаляется, а PHP-программа расшифровывает данные по ключу. Если такового ключа нет, то значит - "сторонняя атака" :-)

Разумеется, при открытии/закрытии файла keys.txt следует использовать оператор flock со стандартными операндами LOCK_EX / LOCK_UN - для случая нереально большого "наплыва" посетителей в один момент:-)

Не знал что задача расшифровки ключа по ключу - тривиальная задача. Как она производится? Подбором при известной длине ключа? Это долго будет. А как тогда?

Я дико извиняюсь, но Вы собираетесь отсылать ключ тем же трафиком, прослушивания которого опасаетесь.

Единственный вариант, который приходит в голову - положить клиенту на комп файл, который будет пытаться вытянуть страница, и который будет содержать ключ.

При попытке доступа к локальному файлу заверещат, естественно, все службы безопасности, и клиенту придется вручную организовывать исключение для сайта.

Замечания:
1. Как передать такой файл - тоже вопрос , но решаемый, возможно, чуть проще.
2. В этом случае имеет смысл писать уже отдельный клиентский модуль (службу или демона, слушающих, например, 80-й порт), а не заставлять клиента маяться с установкой в нужное место файла-ключа и организацией исключения.
3. Не уверен, есть ли вообще нужные средства обработки локального файла иначе как в связке Windows / Interner Explorer / ActiveXObject("Scripting.FileSystemObject");
(Файл не должен подключаться как JS через тег <script>, иначе его сможет подключить куда-либо и злоумышленник).

Если ключ одноразовый и не привязан жестко к шифруемым данным, а запрашивается отдельно, то такой вариант видится мне довольно безопасным.

Не понимаю. Если кто-то имеет доступ к трафику, а в трафике содержится и шифр и ключ для него, то этот кто-то обладает всем необходимым для расшифровки. Или я чего-то не улавливаю?

Почитайте про асинхронное шифрование.

Я читал, спасибо...
Развейте мысль, пожалуйста.

Асинхронное шифрование на том и основано, что данные можно зашифровать открытым ключом, но расшифровать их можно только при помощи закрытого ключа, который нигде не публикуется. Пусть злоумышленник хоть сто раз получит и открытый ключ, и зашифрованное им сообщение. Но это сообщение он не расшифрует так просто, потому что он не владеет закрытым ключом (разумеется, если владелец закрытого ключа позаботился о его безопасности).

А что в предложенной схеме закрытый ключ?

Закрытый ключ — это последовательность байт, с помощью которой можно расшифровать сообщение, зашифрованное открытым ключом.
Видимо, вы так и не почитали об асинхронном шифровании.

Он спросил как реализовать асинхронное шифрование на сайте.

А вы так и не предложили готовое решение...

Я предложил выше. Вам его в код облечь? Это слишком долго. Я думаю, тут надо не мериться письками кто что предложил, а говорить по делу. То что вы описали - это интересно, но не очень понятно как это реализовать.

Я говорю только по делу. В гугле полно готовых скриптов, реализующих RSA и прочее. Или вам скопипастить код?

Перечтите мое сообщение. Я не спрашивал Вас, что такое закрытый ключ. Я спросил, где он в предложенной схеме.

upd: Виноват. Я не уловил, что ТС нужно шифровать только исходящие данные. В таком случае Ваше предложение подходит.

Спасибо всем за ваши рассуждения. На основании них, я поискав в интернете нашёл довольна таки интересную статью http://blog.mesos.ru/2008/03/13/асинхронное-шифрование-в-javascript/#more-51
Там как раз таки раскрывается мой вопрос.
RSA javascript php там вот такая связка. Пока на практике не пробовал, но в ближайшее время обязательно попробую.

Ради всего святого!
Не асинхронное!
Асимметричное!

Этот термин уже давно в ходу. Хоть он и нелогичен, но, в общем-то, это уже данность. Естественный язык к логике мало восприимчив, даже если этот язык - профессиональный :)

Во-первых, Вы преувеличиваете.
Во-вторых, данность это или нет, определяется реакцией обычных людей.
Таких как Вы. Или я.

До какого-то момента. Дальше личное отрицание термина превращается в экстравагантность :).

Но, возможно, Вы правы в том, что в случае с шифрованием этот момент еще не настал.