solo expertos paso de variables escondidas entre servidor<->brow

Bien necesito que algien pruebe este codigo que hize para verificar que la variable string de la mayoria de comandos javascript que contiene el browser que envia el browser se hace correctamente sin dejar rastro en el browser de ese paso de variables, si alguien sabe utilizar el wireshark a ver si es cierto que no hay rastro de ese paso de variables. Lo he probado con varios browsers , y en la consolaweb de cada uno de los browser solo se hace visible dos conexiones mientras que el servidor detecta 4 segun el contador que puse como una variable de $sesion['c0'], si vas y miras el source code que ves en el browser de la pagina ejecutada lo que aparece en la ventana del browser no es lo que corresponde con el sourcecode, si miras en los heads mirando las conexiones que aparecen en la consolaweb de los browsers no aparece ese paso de variables, la variable almacenada en $_SESSION['windowcodes'] recibe correctamente los comandos javascript, se que SSL es la manera para salvaguardar ese paso de variables que se establece entre el servidor i el browser de usuario sin embargo estaba investigando una alternativa para crear un paso de variables que no fuera visible, y si fuera posible que expertos buscaran alguna manera de poder localizar ese paso de variables y que lo comentaran aqui, simplemente para buscar posibles vulnerabilidades, he oido que con wireshark es muy posible que sea eso posible u otros programas del mismo estilo. Bueno aqui os envio el codigo, que es una combinacion de PHP-AJAX-DOMJAVASCRIPT a ver si podeis encontrar la manera de hacer visible ese paso de variables.

Código :

<?php
//[email protected]
header('Content-Type: text/html; charset=UTF-8');
set_time_limit(0);
ini_set('memory_limit', '1512M');
error_reporting(0);
//inici sesio
function con_ses(){
$_SESSION['c0']++;
echo $_SESSION['c0'];
}
session_start();
$scri0="<script>
window['W']=window;W['D']=document;
W['idiv']=document.createElement('div');W['s']='';
for(k in window){if(s.indexOf(','+k+',')>0){}else{s=(s=='')?k:s+','+k;}};
for(k in idiv.style){if(s.indexOf(','+k+',')>0){}else{s=s+','+k;}};
for(k in idiv){if(s.indexOf(','+k+',')>0){}else{s=s+','+k;}};
W['NU']=function(){};
W['AJ']=function(){var r=false;try {r=new XMLHttpRequest();}catch(e){try{r=new ActiveXObject('Msxml2.XMLHTTP');}catch(e){try{r=new ActiveXObject('Microsoft.XMLHTTP');}catch(e){r=false;}}}return r;}
W['Aj']=function(){var a=arguments;var h=AJ();var r=new W['Date']().getTime();var v=(a[1]=='')?null:a[1];
var z=(a[4]==0)?false:true;
var t=(a[2]==0)?'GET':'POST';var p=(a[2]==0)?a[0]+'?r='+r+'&'+v:a[0];h.open(t,p,z);h.setRequestHeader('Content-type','application/x-www-form-urlencoded');h.send(v);h.onreadystatechange=function(){if(h.readyState==4&&h.status==200){var j=h.responseText;h.responseText='';a[3](j);}else{}}}
";
if(!$_SESSION['c0']){///////////////////////////////////////////////////////////1
$_SESSION['c0']=0;
con_ses();
echo $scri0."
Aj(location.href,'aaa='+s,1,W['NU'],0);
W.location.assign(location.href);
</script>
";

}else if($_SESSION['c0']==1){///////////////////////////////////////////////////2
$_SESSION['windowcodes']=$_POST['aaa'];con_ses();
}else if($_SESSION['c0']==2){///////////////////////////////////////////////////3
$A=explode(',',$_SESSION['windowcodes']);
print_r($A);

echo "<html><head></head><body id='ibody'></body>".$scri0.//apartir d'aqui aixo es zona de comprobacio el que vol dir es que realment anira a fora apartir d'aqui
"
W['z']=s.split(',');W['x']='';
x='";
for($f=0;$f<count($A);$f++){
echo "".$f." -> '+z[".$f."]+' -> ".$A[$f]."<br>";
}

echo "';


document.getElementById('ibody').innerHTML=x+'<br><br>';

Aj(location.href,'bbb=',1,W['NU'],1);

</script></html>";

con_ses();

echo '<br>';

}else{
echo 'hola gente esto es un pequeño ejemplo de lo que se puede hacer combinando AJAX,POST(SINCRONICO,ASINCRONICO),PHP,DOMJAVASCRIPT,HTML5 creado por AUKUN.JANES';
echo chr(13).chr(10).chr(13).chr(10).chr(13).chr(10);
echo "hello world this is a little example that you can to make combining AJAX,POST(SINCRONICO,ASINCRONICO),PHP,DOMJAVASCRIPT,HTML5 created by aukun.janes";
echo "esto es lo que veis cuando c0 es ".$_SESSION['c0'];
if($_SESSION['c0']==4){$_SESSION['c0']=0;}else{$_SESSION['c0']++;}

}

?>

vale ya lo tengo lo que me falta es habilitar XHR en la consola para poder ver logeadas las cuatro conexiones y asi puedo ver que me da el aviso de estar utilizando xmlhttprequest de manera sindronica, ok ahora el siguiente paso es habilitar SSL, ya cree mi clave hi habilite apache2 para SSL, ahora mi servidor funciona con SSL i mi pagina se encuentra en https, aun asi en la cuarta conexion habiendo habilitado XHR puedo ver ese paso de variable aaa, ¿no tendria que aparecer encriptada esa variable?

Firefox > tamper data extensión

Pruebalo... Saludos