оказывается в браузерах беда с хэшированием
Разрабочик мотивирует передачу пароля plain text (по ssl каналу) тем, что оказывается ничего кроме md5 в браузерах нету и он не хочет чтобы хэшики генерировали клиенты, поскольку в случае кривой реализации алгоритма хэширования на некоторых клиентах он огребёт проблем. По его словам в браузерах ничего лучше md5 пока не стандартизовали в том, что можно вынести на клиента.
update: реально важный аргумент разработчика в том, что выбрав bcrypt он увидел генерацию хэша в браузере порядка минуты (12 раундов). Проверил штатным браузером на Android 2.2 на стареньком huawei - 2 минуты 10 секунд реализацией javascript-bcrypt на googlecode. При учёте что везде и так ssl никто не готов ждать логина так долго.
update: реально важный аргумент разработчика в том, что выбрав bcrypt он увидел генерацию хэша в браузере порядка минуты (12 раундов). Проверил штатным браузером на Android 2.2 на стареньком huawei - 2 минуты 10 секунд реализацией javascript-bcrypt на googlecode. При учёте что везде и так ssl никто не готов ждать логина так долго.