C'è una frase che voglio insegnarti: "Qual è il tuo modello di minaccia?" Se interagisci con la sicurezza, garantisco che uno di loro ti chiederà a questo punto. Questa domanda è un suggerimento per te che non hai pensato attentamente esattamente quale problema stai cercando di risolvere.
Quando ho letto la tua dichiarazione "Non ho SSL sul mio sito web, ma è solo un sito di recensioni e nessun dato privato viene trasmesso, tuttavia, su un telefono cellulare mi sembra più pericoloso", quello che percepisco è che non stai pensando attentamente alla sicurezza. Sembra che tu stia reagendo sulla base di sentimenti, impressioni superficiali e associazioni emotive. Non è il diritto di fare sicurezza. Invece, è necessario prendere in considerazione il rischio reale, valutare le possibili attenuazioni per difendersi da questi rischi e quindi capire se ne vale la pena.
Sulla tua domanda, no, non ti consiglio di fare quella strana attività di doppio hashing delle password. Non cercare di diventare troppo intelligente e non provare a reinventare la ruota; molti altri hanno provato prima di te, e le probabilità sono che si ripeterà un errore che hanno già fatto.
Ci sono fondamentalmente due opzioni che potrebbero avere senso per te:
-
Usa SSL. Se sei preoccupato per il rischio di intercettazioni e attacchi man-in-the-middle, la soluzione giusta è ottenere un certificato SSL e abilitare SSL. Scovare con la password personalizzata doppio-hashing non è raccomandato.
-
Non fare nulla. Personalmente, penso che una risposta più ragionevole sia: non preoccuparti di SSL. Non preoccuparti per questo. Non fare niente di speciale Hai detto che non ci sono dati privati e il sito web non è importante. Se è così, allora usare l'ordinario HTTP va bene. (Sospetto che questa risposta potrebbe non essere così popolare su questo sito: per la sicurezza, a volte c'è la tendenza a cercare di rendere tutto il più sicuro possibile, tuttavia, in pratica non è sempre la risposta giusta.)
Scegli uno o l'altro. Ma non provare a fare qualcosa di strano. C'è una ragione per cui le soluzioni standard sono, beh, standard.