Eh, pravdu nemáte úplně ani jeden.
Pokud by Xmarks chtělo hesla, tak si je prostě uloží, není nikde uzákoněné ukládat hesla v hashi.
Ale s jistotou můžu tvrdit, že je mají hashované i se "solí", co by to bylo za průser, kdyby je někdo zveřejnil s odkazem na Xmarks, to by nevybrali ani půlku.
Ad ke komunikaci:
U registrace → Do prohlížeče napíšeš heslo v plain textu, které se skrze šifrovanou vrstvu SSL odešle na server, tady se přisolí a zahashuje (nebo uloží v plaintextu ad první část příspěvku) tento hash se uloží do db.
U přihlášení → zadáš své heslo které tou samou šifrovanou cestou putuje na server kde se provede ta samá operace jako při registraci, přisolí se, zahashuje a výsledný řetězec se porovná s řetězcem z db.
Dříve se použivalo jen hashování:
"ahoy" = 9609a0108b80a92967d3461a789e1f37
Dnes se hesla solí:
"ERCVCVRddfdf" + "ahoy" = 3b9ed1a640b0a4b68cdf46f2eae41fb1
Pokud někdo získá databázi hesel pomocí rainbow tables je schopen rozlousknout hesla do řekněme pěti znaků, Pokud jsou hesla osolena není prakticky možné pomocí brute force metody získat původní řetězec.