Sto creando un sito Web per aiutare le persone con determinati interessi di nicchia a trovarsi l'un l'altro. Viene fatto semplicemente come un progetto volontario, non ci sono soldi in gioco (su entrambi i lati), né ci sono molte informazioni personali memorizzate. Gli unici dati interessanti che memorizziamo sono il codice postale, l'indirizzo email e la password (hash) di ciascun utente. Tutto ciò che si otterrebbe avendo accesso a questi è la possibilità di modificare il codice postale dell'utente, il che mi sembra poco vantaggioso per nessuno.
Tuttavia, è stato sottolineato che molte persone usano la stessa password ovunque, quindi se qualcuno potesse accedere ai dati, sarebbe in grado di provare la stessa combinazione di email / password su altri siti. Anche se questo sembra un compito piccolo e probabilmente futile, vogliamo rassicurare i nostri utenti che li stiamo proteggendo.
Se eseguiamo il sito su SSL, quando registrano o eseguono l'accesso, c'è un grande vantaggio nell'annullare la password in Javascript prima di inviarla al server? D'altra parte, stiamo esponendo tutto ciò che non dovremmo fare eseguendo l'hashing in Javascript, dove è visibile a chiunque, al contrario del server, dove è visibile solo alle persone con accesso al server (nel qual caso abbiamo altri problemi di sicurezza?
P.S. Si prega di notare che io non sono un esperto di sicurezza in alcun modo, quindi per favore non presumere alcuna conoscenza precedente. Se mi è sfuggito qualche punto ovvio, ti preghiamo di chiarirlo o di chiedere maggiori dettagli, piuttosto che fare downvoting come una cattiva domanda. Ho cercato in giro, ma non ho trovato nulla che risponda a questa domanda (anche se ho imparato molte altre cose lungo la strada!)
P.P.S. Si noti che questa domanda è specificamente correlata al registro e alla procedura di accesso. Ci sono ovviamente domande sulla sicurezza del database, ecc., Ma vengono trattate separatamente.