Bonjour,
 
Ma question va peut-être parraître débile mais bon, j'avoue que je bloque.
 
D'après ce que j'ai lu et vu à plusieurs reprises, une solution très utilisée pour sécuriser un minimum le processus d'authentification d'un utilisateur sur un site consiste à encrypter le mot de passe qu'il saisit (MD5, SHA, ...) pour qu'il ne transite pas en clair sur le réseau.
Oui, mais si le hash transitant est volé, on peut très bien se connecter avec non ?
 
Merci de m'éclairer à ce sujet

c'est pour cette raison que le protocole HTTPS existe.
http://www.commentcamarche.net/crypto/ssl.php3

C vrai qu'un tunnel SSL serait l'idéal, mais mon hébergeur ne me permet malheureusement pas cette technique...
 
Il faudrait être sûr que l'utilisateur est bien passé par une saisie de son mot de passe... Mais comment ?

va faire un tour sur programmation si il y a une possibilité de crypter le mot de passe (+ échange de clef par ex)  par javascript  avant de l'envoyer par HTTP.
Mais est ce nécessaire ? car cela supposerait qu'une personne s'intercale (man in middle) entre toi et le serveur, en gros la personne t'en veut beaucoup

C'est précisemment de cette méthode dont je te parle...
 
- L'utilisateur saisit son mot de passe
- Le mot de passe est encodé en MD5 ou SHA via javascript
- Le tout est envoyé sur le réseau
 
Mais si quelqu'un s'enpare du Hash, il peut se connecter quand même !

c'est pour cette raison que le serveur doit envoyer une clef au client (algo d'échange de clef). Donc cette méthode se résume à "fabriquer" un pseudo HTTPS (uniquement la partie authentification) à partir de javascript.
Sérieusement si tu as des données sensibles, passe directement à un hébergement dédié et met en place un serveur HTTPS.