Quindi stavo solo pensando a token_authenticatable
setup da devise (rails gem), e questo pensiero mi è venuto in mente:
Potremmo rafforzare la sicurezza web con l'hashing nome utente / password con javascript prima inviarlo al server?
Ovviamente dovremmo sempre usare SSL, ma anche SSL è vulnerabile agli attacchi MITM, non sarebbe più sicuro se, invece di una password, i server web memorizzassero un hash della username e password, in modo che, anche se l'hash di login di un utente fosse stato ripristinato, avrebbe funzionato solo su un sito web. Giusto?
Perché diciamo che joe shmoe ha il suo account gmail, con un nome utente di [email protected] e una password di joeshmoe. Ora Mr. Shmoe si iscrive con mylazywebsite.com che non usa SSL, utilizzando la stessa password del suo account Gmail, ora la sua intera identità online è stata compromessa.