ใช้ https
ส่วนตอนส่งรหัสผ่าน ส่งเป็น hash ของ session id + password

วิธีดู http request

• httpwatch plug-in
• wireshark
• fiddler2

แบบเบื้องต้นก็

1. ใช้ POST อันนี้ต้องทำ ไม่มีใครเค้าส่งรหัสทาง GET กัน (ยกเว้นเว็บตามมหาลัย)
2. ใช้ HTTPS อันนี้ยุ่งหน่อย ต้องทั้ง server รองรับ แล้วก็มี cert

วิธีดัก request

1. ถ้าใช้ firefox ลง live http headers เลยครับ (อ่าน request https ได้ด้วย)
2. wireshark
3. tcpdump

ส่งไปแบบ MD5 ครับ

ในฐานข้อมูลเก็บรหัสผ่าน แบบเข้ารหัสไว้ ประมาณ md5 หรือเพิ่ม "salt" ก็พอได้
(ประมาณว่า Username=admin Password=e10adc3949ba59abbe56e057f20f883e)

เวลาจะ Login ก็ Username=admin Password=123456 จากนั้นก็เข้ารหัสผ่าน 123456 ให้เป็น md5
ก็จะได้ e10adc3949ba59abbe56e057f20f883e ไปเทียบกับฐานข้อมูล ถ้าเหมือนกันก็ Login ผ่าน)
ไม่ควรเก็บรหัสผ่านแบบไม่เข้ารหัสไว้ ส่วนเวลาลืมรหัสผ่านก็ควรใช้ระบบตั้งรหัสผ่านใหม่ แทนที่จะเป็นกู้รหัสผ่าน

ส่งเป็น Plain text แบบปรกติไปเลยคับ โดยใช้ post แต่ต้องส่งผ่าน https นะ

ปกติผมใช้ sha1 ใน Javascript ก่อน (บน HTTPS) กรณีต้องการความปลอดภัยจริงๆ

แต่ถ้าทั่วๆ ไปก็ HTTP Post ก็พอล่ะ

ใช้ sha1 ผ่าน HTTPS อ่ะครับ

ปกติส่งไปทั้งยังงั้นเลย แต่ผ่าน HTTPS ครับ

เราจะดู request message ที่ส่งไปยังเว็บไซต์ที่เราต้องการเข้าดูอย่างไรครับ

ปกติผมใช้ FireBug (ของ FireFox) ถ้าส่งแบบ ajax รู้สึกจะอยู่ใน Tab -> Console แต่ถ้าส่งแบบ submit form ก็ลองดูใน Tab -> Net