Каков наилучший способ хэширования пароля пользователя в браузере клиента, прежде чем отправлять его на веб-сервер, так что выходит только хеш, а не пароль с открытым текстом?Хеширование паролей в браузере клиента
EDIT: если предположить HTTP используется (не HTTPS)
Надеюсь, вы планируете либо отправлять хэш по защищенному каналу, либо это часть механизма вызова/ответа. В противном случае это не более безопасно, чем отправка самого пароля в виде простого текста ... –
@Roger Lipscombe, этот метод может фактически немного улучшить для пользователя. Даже если нет безопасного канала (только SSL будет работать, альтернатива JS не будет пуленепробиваемой), то он, по крайней мере, сделает хэш уникальным для сайта. Чтобы сделать хэш уникальным, конечно, * его нужно солить *. – Inshallah
Предоставлено, что это сделает хэш уникальным для сайта - полезно, если пользователь использует один и тот же пароль на нескольких сайтах; не препятствует повторному воспроизведению с тем же сайтом. И, конечно, если хэш будет солен, то либо соль должна идти от клиента к серверу - не более безопасна, чем раньше; или другим способом, и в этом случае это вызов или ответ. –