Hola, aunque habla de Javascript, creo que es una pregunta más apropiada para este foro, ya q en realidad trata sobre seguridad general...

llevo varias semanas leyendo sobre el asunto de la encriptación y la seguridad, que es un tema muy amplio y además, algunos de los q he leido eran algo antiguos.

El caso es que para mi web, que tiene una parte privada para usuarios autenticados con contraseña me planteo: (1). HTTPS, descartado, por el hosting que tengo / (2). Encriptar las contraseñas en JavaScript, me quedo con esta opción

Según creo, es necesario encriptar las contraseñas pq si alguien captura el paquete de datos que viaja por la red con la contraseña, pues detecta la contraseña y desde ese momento tendría acceso a la web suplantando al usuario cuyo paquete cazó...

Lo que recomiendan es encriptación irreversible, para que sea más difícil desencriptar la cosa, y que en la BD se almacene esa contraseña encriptada, pero, LO QUE NO ENTIENDO es, si capturan la contraseña encriptada, y envian esda cadena de texto, pues yo valido la caden encriptada, es decir:

Contraseña: PEPE / Contraseña encriptada en JS: hjkdfFHDKFJBfxASDSAsdss

Yo guardo en la BD hjkdfFHDKFJBfxASDSAsdss

Cada vez que llegue esa cadena al servidor yo lo doy por un usuario válido, entonces si el listo ha pillado esa cadena hjkdfFHDKFJBfxASDSAsdss viajando por la red, no tiene más que enviarla??? O sea, que lo único que he hecho ha sido alargar la cadena de texto, pero poco más

¿Estoy equivocado? ¿De verdad es segura esa forma de encriptación?

Algunos enlaces: Encriptaciones en Javascript y otra

Y: Un reventador de contraseñas encriptadas con SHA1 y MD5 y tus contraseñas no valen para nada