Encriptacion y seguridad

Hola, aunque habla de Javascript, creo que es una pregunta más apropiada para este foro, ya q en realidad trata sobre seguridad general...

llevo varias semanas leyendo sobre el asunto de la encriptación y la seguridad, que es un tema muy amplio y además, algunos de los q he leido eran algo antiguos.

El caso es que para mi web, que tiene una parte privada para usuarios autenticados con contraseña me planteo: (1). HTTPS, descartado, por el hosting que tengo / (2). Encriptar las contraseñas en JavaScript, me quedo con esta opción

Según creo, es necesario encriptar las contraseñas pq si alguien captura el paquete de datos que viaja por la red con la contraseña, pues detecta la contraseña y desde ese momento tendría acceso a la web suplantando al usuario cuyo paquete cazó...

Lo que recomiendan es encriptación irreversible, para que sea más difícil desencriptar la cosa, y que en la BD se almacene esa contraseña encriptada, pero, LO QUE NO ENTIENDO es, si capturan la contraseña encriptada, y envian esda cadena de texto, pues yo valido la caden encriptada, es decir:

Contraseña: PEPE / Contraseña encriptada en JS: hjkdfFHDKFJBfxASDSAsdss

Yo guardo en la BD hjkdfFHDKFJBfxASDSAsdss

Cada vez que llegue esa cadena al servidor yo lo doy por un usuario válido, entonces si el listo ha pillado esa cadena hjkdfFHDKFJBfxASDSAsdss viajando por la red, no tiene más que enviarla??? O sea, que lo único que he hecho ha sido alargar la cadena de texto, pero poco más

¿Estoy equivocado? ¿De verdad es segura esa forma de encriptación?

Algunos enlaces: Encriptaciones en Javascript y otra

Y: Un reventador de contraseñas encriptadas con SHA1 y MD5 y tus contraseñas no valen para nada

En internet no hay náda seguro.

Lo que comentas de la contraseña, lo que haces es en el formulario introducir la contraseña real y por el script encriptarla para que se compare con la que está en la base de datos, a lo que este si es correcta te devuelve el valor y te deja pasar.

Bien si alguien intenta poner la contraseña que no es la que esta sin encriptar no le dejaria pasar, esta es la lógica

Ahora sabiendo eso, llegamos a lo siguiente, para poder hacerle la consulta a la base de datos tienen que conocer el Host, Usuario y Contraseña de la misma, normalmente esos datos se encuentran en un archivo que no es nada facil de poder mostrar ya que normalmente se hacen por medio del lado del servidor (PHP o ASP), y si intentar verlos te devolvera la página en blanco.

Por lo que si no sabe esos datos la unica manera de poder mandar la solicitud es metiendo un Inyector en los formularios de tu web, a lo que por motivos de seguridad en los formularios combiene "limitarles" el tamaño de caracteres, para no permitir códigos largos, y usar las propiedades de los lenguajes para limitar que no se utilice codigo HTML, PHP o ASP, para no poder usar etiquetas como include().

El tema de usar HTTPS, lo que hace es encriptar los datos directamente, aparte de que tu encriptes también, mas o menos por lo que he deducido de tu post, es que tu hosting no te probee la zona SSL, yo por ejemplo en el mio lo tienen como una página aparte, por ejemplo si mi dominio es http://www.midominio.com para poder enviar las cosas deberia de mandarlas por https://midominio.paginassl.com, mira que tu proveedor de hosting tenga algo similar, así podrias usar los 2 metodos para enviar datos de la manera "mas segura".

Esto no quita que no llege un listillo y te desmonte la página, pero almenos se lo podrás dificil.