Il modo in cui comprendo la sicurezza della password è che l'utente immette una password, che viene quindi convertita utilizzando una funzione hash. Il sito Web quindi lo confronta con l'hash memorizzato per vedere se è corretto.
In questo modo viene memorizzato solo l'hash, quindi se un utente malintenzionato scopre che non ha la password originale. Dove viene convertito esattamente in un hash? Se è fatto clientide, mi aspetterei che un
l'utente malintenzionato che conosce l'hash potrebbe modificare il codice clientide per inviarlo direttamente al server.
Ma se fatto server, allora la password in chiaro deve essere inviata attraverso la rete,
che sembra un problema di sicurezza se un utente malintenzionato è in grado di ascoltare la connessione.
Quale di questi metodi viene utilizzato e in che modo vengono affrontati i potenziali problemi di sicurezza?