Ero curioso di sapere come le password inserite nei campi password passano dal lato client al lato server. Così, ho iniziato a esplorare articoli online e usando la mia conoscenza di reti e crittografia, ho raggiunto una certa conclusione. Ma continuo a pensare di non capire il meccanismo completo. Questo è ciò che so e correggo se sbaglio.
Oggi la maggior parte dei browser Web utilizza HTTPS che è TLS tramite il protocollo HTTP. In questo, viene creata una sessione tra i due lati utilizzando il protocollo di handshake in cui vengono scambiate le chiavi per la crittografia dei dati. Pertanto, quando eseguo l'accesso o creo un nuovo account su Google, Facebook o altrove, queste chiavi vengono utilizzate per crittografare i dati prima del trasferimento. ( inclusa la password ).
Quando il pacchetto raggiunge il server, decodifica i dati (inclusa la password). Se si tratta di un nuovo account, il server memorizza il valore hash della password o il valore hash salato. Sto pensando in questo momento che la password sia in forma di testo. Nel caso in cui si tratti di un vecchio account, il server controlla semplicemente il valore hash della password con il valore hash memorizzato del client.
Tutto questo o i siti Web si prendono particolarmente cura delle password per il trasferimento ? Qual è la situazione in cui viene utilizzato solo HTTP? Qual era lo scenario prima dell'arrivo di HTTPS nell'immagine?