Je nebezpečné vyplniť hodnotu inputu password ?

Zdravim.
Mam na stranke prihlasovanie. Mam tam ochranu captchou, ktora funguje takto:
Uzivatel zada meno a heslo. Pokial zada k jednemu menu 3x nespravne heslo, tak na ten treti krat sa mu zobrazi vedla prihlasovacieho formularu div s captchou a textom "prepiste captchu pre dokoncenie prihlasenia". Prihlasovaci formular ma uz vyplnene prihlasovacie udaje samozrejme. A je tam vyplnena aj hodnota inputu password, cize v prehliadaci je zakryta ale v zdrojovom kode potom vidno heslo.
Je toto nebezpecne ? Ak ano ako by som to mohol zabezpecit ?
Dakujem

Nebezpečné to ani nie je - to heslo sa mu tam zobrazí až po nesprávnom prihlásení.
Ale nie je to dobrý postup, štandardne sa heslo po znovunačítaní formuláru nezobrazuje. Ak by to napr. urobil v internetovej kaviarni, tvoja stránka by mala dlhú odozvu a on by medzičasom odišiel, tak si hocikto môže jeho heslo prečítať.

Captcha sa zobrazuje az po viacnasobnom nespravnom prihlaseni. Ale niekto by mohol napriklad tu captchu niekomu vyvolat aj naschval. V mojom pripade by stacilo aby sa 2x (na 3x uz pyta captchu) nespravne prihlasil niekto na niekoho meno a potom to mam nastavene tak, ze najblizsich 10 minut sa na to meno zobrazuje captcha ako bolo popisane vyssie.

A? Aj keby ju niekto vyvolal "naschvál", tak mu to heslo predsa nezobrazíš? Či? Ja celkom nerozumiem, čo riešiš.

Zdalo sa mi ze by to mohlo byt nebezpecne. Sam neviem aku odpoved som cakal.
Ok necham to tak ako to mam.

Dakujem.

Ale stále nechápem, prečo tam to heslo dávaš - štandardné správanie je, že po neúspešnom odoslaní formuláru sa zobrazia všetky údaje okrem hesla. Ja by som ho tam nedával.

To je ako keby druhy krok prihlasenia. Najprv ma uzivatel pred sebou len formular. Odosle ho, script overi ci na ten login treba zobrazit captchu a ak ano tak zobrazit vyplneny formular pricom vedla je captcha a nadpis "pre dokoncenie prihlasenia vyplne kod.". No ten vyplneny formular by tam vlastne ani nemusel byt ale musim nejak preniest to meno a heslo. Teraz ma napadlo session. Ale ci sa mi to vobec oplati prerabat.

Wtf? Nauč sa základy programovania a hlavne niečo o bezpečnosti aplikácií.
Heslo nepatrí nikam! Nie do session a ani ho nemáš prenášať medzi stránkami.

Prečo by mala byť captcha druhý krok?
Príklad 1:
- Zadá meno, zadá heslo, je správne, prihlási ho.

Príklad 2:
- Zadá párkrát zle údaje, neprihlási ho, tak mu znovu zobrazíš prihlasovací formulár + mu tam zobrazíš captchu (meno mu tam môžeš zobraziť, heslo nie).

Boze shaggy keby som vedel vsetko tak sa nepytam. Ale zaklady viem jednoznacne.

priklad 1 - chcem tam captchu
priklad 2:
Ok, zada zle meno a heslo a bude tam mat znovu formular s captchou. Meno tam bude ale heslo nie. Vyplni captchu, odosle formular a z kadial ja budem mat heslo ? Ved ho musim podla niecoho prihlasit.
Skus mi prosim ta aspon nacrtnut ako by fungoval ten script.

1daemon1, presne tato otazka je klucova:

Podla mna je uplne normalne, ze ak zadas parkrat zle heslo, formular by sa nacital odznova tym sposobom, ze by rovno pred uzivatelom svietili tri vstupne polia - pre meno, heslo a captchu. A mas to lahsie realizovatelne.

Veď ho opäť zadá, čo je na tom nepochopiteľné?

Ak niekto refreshne stranku, ako potom zisim ci sa ma captcha zobrazit ? Podla IP ? Captcha ako druhy krok podla mena je jednoznacna identifikacia, preto som volil tuto cestu.

Navyse ten web ma prihl. formular vo viacerych castiach. Napriklad na hlavnej stranke, na ktorej sa mi captcha nezobrazuje, pretoze cez action atribut sa odkazujem na login.php. Nechcem zobrazovat captchu na hl. stranke. Ked sa udaje posielaju na login.php, tam sa vyhodnocuje, ci sa ma zobrazit captcha a tam je uz na nu miesto.

// Uz chapem. Takze to ma fungovat rovnako ako to mam akurat heslo do formulara s captchou nevyplnim a user ho bude musiet druhykrat zadavat. No to by slo. To bude asi lepsie riesenie, dakujem.