Così mentre stavo lavorando al mio progetto personale qualcosa mi ha colpito.
Quando qualcuno crea un account su qualsiasi servizio Web / social media fornisce il nome utente e la password desiderati, questo viene quindi elaborato dal server, il nome utente viene memorizzato in un BD e la password viene sottoposta a hash e quindi archiviata, ma ciò significa che la password riceva la password in testo normale e quindi applica un algoritmo prima di memorizzarlo.
La stessa cosa accade quando qualcuno si collega direttamente? Ovviamente questo può essere inviato tramite SSL / HTTPS ma il server viene comunque presentato con il testo in chiaro che rappresenta la password, lo blocca e lo confronta con la password con hash memorizzata.
Perché questo processo non viene eseguito sul lato client? Sarebbe abbastanza semplice che il client abbia hash la sua password nel browser usando JS Sono sicuro che ci deve essere qualche libreria dedicata all'hashing con algoritmi popolari come SHA-256.
Forse sto ignorando qualcosa di veramente ovvio o forse sono qualcosa di incomprensibile, quindi sono aperto alla correzione.