これまでに質問されたことがあることをお詫びしますが、最新の回答を期待しています。
私はサーバー側のセキュリティに非常に慣れていないので、これを正しく実行したいと思います。
私の質問:HTTPS経由で送信されるパスワードを暗号化するのがベストプラクティスですか?
POST変数でパスワードを送信する前にJavascriptを使用してパスワードを暗号化することを推奨する投稿を見たことがありますが、HTTPSを使用するときにこれが必要かどうかはわかりません。
注意:私は、パスワードがデータベースに保存されるときに、パスワードをハッシュしてソルトするつもりです。
HTTPSを使用している場合、クライアントとサーバー間で送信されるデータを暗号化する理由はあまりありません。HTTPSがそれを行うので、それ以上の暗号化は冗長です。
パスワードを事前に暗号化することを考えることができる唯一の理由は、明確なパスワードがサーバーのメモリまたはログに保持されないように、クライアント側でパスワードをハッシュすることです。これはやや偏執的であり、おそらく現実の世界ではあまり役に立たないでしょう。ログにパスワードが記録されることはありません。誰かがサーバーのメモリにアクセスできる場合は、パスワードの暗号化以外に、他の問題に対処する必要があります。
また、クライアントでパスワードを暗号化すると、他の人が暗号化/ハッシュがどのように実行されているかを確認できます。IMHOは、サーバーのメモリに数ミリ間存在させるよりもセキュリティ上のリスクがあります。