Ich schreibe einen Login für ein Forum und muss die Passwort-Client-Seite in Javascript hashen, bevor ich sie an den Server weiterschicke. Ich habe Probleme herauszufinden, welcher SHA-256-Implementierung ich tatsächlich vertrauen kann. Ich hatte erwartet, dass es eine Art maßgebliches Skript geben würde, das jeder benutzte, aber ich finde jede Menge verschiedener Projekte, alle mit ihren eigenen Implementierungen.

Mir ist klar, dass die Verwendung der Krypto anderer Leute immer ein Glaubenssprung ist, es sei denn, Sie sind dazu befugt, dies selbst zu überprüfen, und dass es keine universelle Definition von "vertrauenswürdig" gibt, aber dies scheint etwas Gemeinsames und Wichtiges zu sein, das es auch geben sollte Konsens darüber, was zu verwenden ist. Bin ich nur naiv?

Bearbeiten, da es in den Kommentaren häufig vorkommt: Ja, wir führen auf der Serverseite erneut einen strengeren Hash durch. Das clientseitige Hashing ist nicht das Endergebnis, das wir in der Datenbank speichern. Das clientseitige Hashing erfolgt, weil der menschliche Client es anfordert. Sie haben keinen bestimmten Grund angegeben, warum, wahrscheinlich mögen sie nur Overkill.