Quote Originariamente inviata da Ricky1966 Visualizza il messaggio
Differeza ce n'è, se ci pensi.
Se come detto da Santino metti il salt nella tabella e questo è generato random uno per ogni utente della password in chiaro non te ne fai nulla, almeno penso così.
Non proprio, prova a pensare: io utente regolare voglio fare l'accesso al mio account e per farlo devo scrivere in chiaro username e password, invio, il server prende la mia password in chiaro, ne esegue l'hash e confronta questo con i dati sul db, giusto?
Bene, ora c'è Tizio che sniffando il mio traffico ha beccato il mio username e la mia password in chiaro, che fa? Va sul sito, scrive sul modulo di login username e password in chiaro, invia, il server prende la password in chiaro, ne esegue l'hash, lo confronta coi dati del db, coincide e Tizio entra sul mio account.
Il fatto è che l'hash viene eseguito sul server, quindi a Tizio non gliene frega niente di come sia la password dopo l'hash, a lui serve come è quella in chiaro, perché il server quella si aspetta, l'hash viene eseguito dopo.