Hmm, když nad tím teď přemýšlím, asi nechápu, jak funguje salt. Protože já si zatím myslel, že salt funguje k tomu, aby hash stejných hesel nebyl stejný (je různý právě o sůl přidanou při hashování k heslu). Nicméně sůl zůstává v databázi u stejného uživatele stále stejná a známá, heslo se tedy musí zasílat osolené vždy stejnou solí. Pokud se heslo vůbec tedy SHAčkuje na straně klienta, a ne až na straně serveru, protože se stejně posílá přes zabezpečený kanál (https, u něhož by měla být zajištěna jak správnost protistrany, tak neodposlouchatelnost obsahu)...Ale jaká je vlastně praxe, tedy jestli se posílají hesla v plaintextu po zabezpečené lince (a SHAčkují se až na serveru), nebo jestli se posílá jen hash, to opravdu netuším, z bezpečnostního hlediska v tom však nevidím rozdíl. Jediné, co by snad rozdíl mohlo znamenat, by bylo dvojité SHAčkování se solí zaslanou serverem, něco jako: server má uložené SHA(passwd), zašle klientovi sůl, ten vytvoří SHA(sůl+SHA)passwd)), a může tak učinit i po nezajištěné lince. Přitom na serveru se dá ověřit, jestli se autentizoval skutečný uživatel, heslo však zná jen klient, server nikoli...