Witajcie! Siedze sobie dzisiaj już parę godzin i czytam przeróżne strony, opracowania, artykuły itd i zastanawia mnie jedna rzecz. Jaki jest sens wymyślania coraz to lepszych sposobów kodowania haseł itp przechowywanych np w bazie? Przykładowo, jeżeli intruz już dostanie się do bazy, to w gruncie rzeczy portal może rozwalić od razu. Natomiast drugą sprawą i główną tego tematu, to jeżeli nie mamy SSLa to nawet jeśli po stronie serwera zakodujemy hasło przez password_hash(), to przecież i tak nam to nic nie da bo jawnie coś przesyłamy od klienta (nawet zahashowane). Chyba, że są dostępne biblioteki do JS, które obsługują password_hash()?

___

Jedyne uzasadnienie, to chyba to, aby w razie włamania/wyciągnięcia haseł nie dało się ich 'szybko' odczytać

Jest sens.
Zważ na to, że wiele użytkowników (rzesza) używa jednego hasła do wszystkich usług, z których korzysta. Dodatkowo login, adres mailowy pewnie też jest taki sam. Intruz, który pozyska dane z Twojej bazy i rozszyfruje hasło, bo korzystasz z md5 może sprawdzić czy dane nie pasują do innych serwisów - idąc od portali społecznościowych przez para-banki, usługi mailowe, allegro, konta paypal i inne. Oprócz pieniądza fizycznego liczą się różne rzeczy, które strzegą ludzie swoim loginem i hasłem - mogą być to drogie noże na Steamie, albo doładowane konto w eurogołąbki na nk.

Portal przywrócisz z kopii zapasowej, załatasz lukę, która posłużyła na pobranie danych, ale pomyśl o użytkownikach, którzy mogą słono zapłacić.

To że jakaś strona nie posiada protokołu SSL nie jest jednoznaczne z tym, że dane ktoś przechwyci - zazwyczaj to jest wina konsumenta, który korzysta z niezaufanego połączenia z Internetem (darmowy hotspot, wifi sąsiada bo nie ma hasła).