Маскировка пароля от пользователя в веб-формах HTML

Question

Я работаю над приложением блога на php и javascript. Я использую Windows Live ID для аутентификации. Пользователь должен предоставить пароль для Windows Live Writer, потому что Live Writer не может использовать Live ID.

Я хочу, чтобы пользователь мог редактировать свой пароль в веб-форме HTML. хотя пароль вводится в поле пароля, в котором отображается только *, значение четко видно в html. Есть ли способы скрыть или замаскировать пароль в HTML? Я не могу использовать принцип типа старый / новый пароль, потому что пароль не требуется. Есть идеи?

Answer 1

Если они не видят ничего, кроме символов «*», они не могут редактировать существующий пароль, поэтому не пытайтесь установить значение этого поля ввода. Просто дайте им набрать новый с нуля.

Кроме того, используйте форму смены пароля и ответ POSTed по HTTPS, а не HTTP, чтобы обеспечить новое значение.

Answer 2

В большинстве приложений пароль не может быть возвращен пользователю для его редактирования. Я и большинство программистов, занимающихся вопросами безопасности, хэшируют свои пароли, так что нет никакого способа придумать оригинальный пароль, приложения просто хранят хэш. Когда кто-то входит на сайт, он берет предоставленный пароль, хэширует его и сравнивает с сохраненным хэшем, чтобы увидеть, соответствует ли он. Это фактически гарантирует, что пароль пользователя не может быть украден с помощью SQL-инъекции.