Estou construindo um site e meus métodos de pagamento serão o Google Checkout e Paypal. Haverá links / botões que redirecionarão o usuário para os sites seguros do Google / Paypal para processar os pagamentos. Isso significa que não preciso da despesa e complexidade adicionais de US $ 150 / ano para instalar certificados SSL no meu site.

De qualquer forma, eu gostaria de criptografar as senhas dos usuários quando elas estão efetuando login, de modo que, se estiverem em uma rede, uma pessoa mal-intencionada executando o FireSheep etc. não possa ler a senha real do usuário, pois está sendo enviada para o servidor. O restante do site não precisa de criptografia, pois não são dados realmente confidenciais e provavelmente reduziria significativamente a experiência do usuário.

Meus pensamentos são: isso poderia ser implementado com criptografia de chave pública. Vamos dizer que o processo é algo como isto:

chave pública está no arquivo externo JavaScript, a chave privada em PHP no servidorUsuário insere seu nome de usuário e senha no formulário e clica em enviar O JavaScript executa e criptografa a senha, armazenando-a novamente no campo de texto @Form é enviado ao servidor e a senha é decodificada com PHP senha de texto simples em PHP é salgada e hash, comparada com a hash no banco de dadorocesso semelhante possível para as funções de registro / alteração de senh

Estou pensando que algo como o RSA faria o truque. Mas eu procurei na net por uma biblioteca JavaScript funcionando, mas nenhuma parece ser compatível com as bibliotecas PHP disponíveis. De qualquer forma, ele precisa gerar um conjunto de chaves compatíveis com JavaScript e PHP.

Alguém sabe de uma solução de trabalho real para isso? Se não, como escreveremos um, então ele será de código aberto. Infelizmente, escrever código de criptografia / descriptografia é bastante complexo, então eu realmente não sei exatamente o que as bibliotecas existentes estão fazendo e como modificá-las para fazê-lo funcionar. Eu já tenho proteção para fixação / seqüestro de sessão, por isso não estou interessado nisso. Apenas interessado em criptografar os dados antes que eles cheguem ao servidor da Web.

NB: Por favor, não publique um monte de links para bibliotecas de criptografia Javascript ou PHP autônomas; eu já as encontrei no Google. Isso não é realmente útil. O que eu preciso é de código para criptografia JavaScript e descriptografia PHP que realmente funcionem em conjunto para produzir o resultado pretendido descrito acim

Também se você não puder postar comentários como "basta usar SSL". Na verdade, eu gostaria de uma solução para esse problema exato, mesmo que não seja uma prática recomendada, seria interessant

Muito Obrigado