Esistono molti siti su Internet che richiedono informazioni di accesso e l'unico modo per proteggersi dal riutilizzo delle password è la "promessa" che le password siano sottoposte a hash sul server, il che non è sempre vero.
Quindi mi chiedo, quanto è difficile creare una pagina Web con hash delle password nel computer client (con Javascript), prima di inviarle al server, dove verrebbero ricodificate? In teoria ciò non fornisce alcuna sicurezza aggiuntiva, ma in pratica può essere utilizzato per proteggere da "siti non autorizzati" che non hanno la password nel server.
clear
punto è solo una masturbazione matematica a quel punto. Ho dovuto riparare un sistema che ho ereditato, progettato esattamente come tu e l'OP descrivete, è stato costantemente violato da adolescenti con Wireshark. L'abbiamo bloccato solo quando abbiamo inserito la REAL
crittografia e crittografato e firmato tutti i payload da e verso il server, la manipolazione dell'account si è fermata e non è più avvenuta dopo.