Quello che intendo e' che se il server si aspetta una pass in chiaro, la riceve, crea l'hash e lo confronta; se si aspetta un hash lo prende com'e' e lo confronta. In entrambi i casi il procedimento e' suscettibile all'intercettazione del dato.