Мне интересно, какие серьезные проблемы связаны со следующей настройкой:
Схема входа в систему по имени пользователя/паролю Javascript/ajax запрашивает значение соли с сервера (мы установили в предыдущих вопросах, что соль не является секретным значением) Javascript предварительно формирует SHA1 (или иным образом) пароля и соли. Javascript/ajax возвращает хэш на сервер. Сервер применяет другую соль/хэш поверх того, который был отправлен через ajax.
Транзакции проходят по протоколу HTTPS.
Меня беспокоят проблемы, которые могут существовать, но я не могу убедить себя, что это настолько плохая установка. Предположим, что всем пользователям необходимо включить javascript, поскольку на сайте активно используется jQuery. По сути, это попытка добавить дополнительный уровень безопасности к открытому тексту пароля.