Как я нашел баг, который раскрывал ваш пароль от PayPal

[TimsTims]

"Paypal, карты, безопасность" говорили они… На их месте я бы давно хешировал пароль ещё в браузере, и в пересылках использовал только хэш, и лучше каждый раз с рандомной солью, чтобы при всем желании криворукого разработчика не мочь его нигде засветить, если вдруг кто-то захочет возвращать пароль для автозаполнения формы.

[Devoter]

Не холивара ради, а для саморазвития хочу спросить: а в чем разница между отправкой пароля в открытом виде и отправкой хэша с клиента? Если сервер даёт доступ по этому хэша? А если рандомная соль генерируется на клиенте, то, как сервер проверит этот хэш? Если же позиция и длина истиной части ключа известны, то что мешает тогда злоумышленнику также разобраться и самому подставлять рандомную соль?