前提として、サーバーにて、パスワード比較をするとします。
GeminiAI=絶対にhtml側でエンコードしてから、サーバーに運び、サーバーでは === 比較すべき。
openAI=htmlからは、httpsを信じて、生パスワードで届け、到着ですぐさま、エンコード。パスワード専用比較演算を使って認証すべき。
この部分は、先輩諸氏の歩み方も手伝うと思うし、会社の方針とか、考え方で違うと思いますが、双方ともにそれなりの考えがあっての事だそうです。
生で届けたほうが、スッキリとはしてますね。javascriptでbcrypt使わなくていいので。Geminiさんは、途中でのキャプチャをとても心配しています。 openAIさんは、割り切っています。
一度、両方のAIをつなげて、論争させたら面白そうです。
追記
よく考えたら、Geminiさんの言っている事破綻してますよね。経路で暗号化してあっても、サーバーで、===ならば、それって、生パスワードと同じです。あ〜あ。
これを再度AIに聞く
-> 再ハッシュ化。サーバーから、saltをなげ、clientでハッシュし、サーバーでベリファイ。
なんかすっきりしない。
