Quindi il traffico viene crittografato su un sito Web in modo che la password sia sicura durante la trasmissione e anche se il sito Web è compromesso, il database contiene solo hash.
Ma l'hacker non è riuscito a creare uno script lato server per archiviare i nomi utente e le password utilizzati per accedere al sito Web in un file poiché sono decodificati e non sono già sottoposti a hash? Questo non otterrebbe comunque ogni utente che permetterebbe loro di visualizzare le password degli utenti che tentano di accedere al sito mentre è compromesso.
Non sarebbe meglio usare le password hash sul lato client?