- plus de hashage+sel cote client, car les algos js sont penibles a gerer, voire buggués, et https est maintenant un standard de securite
- cote serveur on utilise les fonction modernes de PHP pour la gestion des mots de passe (sel, poivre, hashage et verification)
Directement inspiré du plugin chiffrer de g0uz https://git.spip.net/spip-contrib-extensions/chiffrer avec en plus:
- utilisation de sodium qui est natif avec PHP depuis 7.2 https://php.watch/articles/modern-php-encryption-decryption-sodium
- la gestion de plusieurs cles, dont aussi le secret_du_site qui n'est plus en meta
- une passe de modernisation sur les cles d'action egalement
C'est a priori bon a tester (et on fera un merge plutot qu'un rebase amha)