Así que solo estaba pensando en token_authenticatable
setup from deevise (rails gem), y se me ocurrió esta idea:
¿Podríamos reforzar la seguridad de la web con un hash de nombre de usuario / contraseña con javascript antes de enviarlo al servidor?
Obviamente, siempre deberíamos usar SSL, pero incluso SSL es vulnerable a los ataques MITM, ¿no sería más seguro si, en lugar de una contraseña, los servidores web almacenaran un hash del nombre de usuario y de la contraseña, de modo que incluso si se recuperara el hash de inicio de sesión de un usuario, solo funcionaría en un sitio web. Derecho?
Porque digamos que joe shmoe tiene su cuenta de gmail, con un nombre de usuario de [email protected] y una contraseña de joeshmoe. Ahora el Sr. Shmoe se registra en mylazywebsite.com, que no usa SSL, usa la misma contraseña que su cuenta de Gmail, ahora su identidad en línea se ha visto comprometida.