Duda enviar contraseña cifrada md5

Hola:

Tengo una duda con el envío de contraseña cifrado con md5 desde el cliente con javascript.

La forma que conozco de hacerlo es que cuando el usuario pulsa enviar,se llama a una función que sustituye el contenido del campo password por el md5 del contenido, enviando así la contraseña cifrada en el formulario para comprobarla en la base de datos.Hasta aquí bien.

Pero si salta la opción del navegador de recordar contraseña, cuando el usuario vuelva a ese formulario de login el contenido del campo contraseña será en realidad su contraseña cifrada de modo que cuando pulse enviar,la contraseña volverá a pasar por md5 y dará como resultado un "usuario o contraseña incorrectos"

A ver si me aclarais la duda y me decís cómo se haría esto.

es completamente inútil enviar el hash desde javascript, igualmente un hacker lo puede filtar y usarlo y sabiendo que ese hash es lo que acepta tu sistema de logueo y rompiéndolo definitivamente (ya que la función en tu server solo verifica, no hashea, solo le pasas el hash y ya!, entró, dándole al hacker una lista de hash existentes).

la idea es que la contraseña se envié como tal y en el server le aplicas el hash y compruebas contra la base de datos, si lo que quieres es proteger tu loggin, no te queda otra salida que utilizar SSL (socket Secure Layer) que emplea un algoritmo de encriptación asimétrico muy difícil de vulnerar que lo hace automáticamente el navegador sobre los datos del form.

El unico detalle es que los certificados son de pago, pero puedes usar openSSL y es gratis, pero con un certificado propio no autenticado.

Pero entonces, ¿la mayoria de sitios como tuenti,facebook por decir algo mandan la contraseña del usuario sin cifrar?

Yo no entiendo muy bien tu pregunta pero aquí va mi respuesta.

Yo casualmente trabajo como tu, con un formulario de autenticación de usuario y contraseña. Antes de enviarla al servidor le aplico MD5. Yo trabajo con firefox y uso la opción de recordar contraseñas sin problemas en mis formularios.

Para añadir apenas un poco de seguridad, al enviar el formulario, con javascript blanqueo el campo de contraseña y envio el hash en un campo escondido hidden.

Te sirve mi respuesta? O aclárame un poco mas tu pregunta.

Si me sirve.Yo pensé que en tu caso firefox te recordaría la contraseña vacía por haber blanqueado el campo...

usa SSL es más seguro, en hotmail por ejemplo, el action del formulario lleva el https, al menos la última vez que revisé, es que lo cambian constantemente