- это никакого отношения к крайнему пробелу не имеет ).

многому пользователю фиолетово, пароль собственность это или нет, есть там трим или нет. Как по мне, лучше перед полем пароля написать, что пароль не должен начинаться с пробельного символа и им заканчиваться. И это не что-то там хитрое, просто забота о пользователе, что бы он не городил пароли, которые можно неоднозначно записать в блокноте, тетрадке или еще где.

не зря написал про уход темы в сторону, тема себя исчерпала в трех страницах. По этому больше в ней не пишу, считайте меня "умником только начавшим заниматься программированием", меня это вполне устраивает. Всем спасибо.

мы тут повторяем холивар https://habrahabr.ru/post/230401/
и если почитать комменты, то мнения разделяются.
так что нет никаких таких "принципов".
или хабражители с полным доступом на хабре - это начинающие программисты?

гы. специально проверил первый попавшийся в моих закладках
угадай какой ресурс тримит?

Еще один пунктик плюс к тому, почему я не пользуюсь сбербанком

Что касается холиваров - тут еще раз повторюсь. Те, кто считает себя умнее юзера, считают так же, что вправе его корректировать. Но это плохо, очень плохо. Предупредить или даже запретить какие то символы и комбинации - это одно. Это честно по крайней мере. Модифицировать данные втихушку, это другое. Это посягательство уже.

Кстати говоря, про сбер. Там те еще профи сидят, как я понял. Если они плевать хотели даже на такие вещи, как ГОСТ транслитерации. У меня была как то раньше карточка сбера. Там мою фамилию так искаверкали, что ни к одному обменнику привязать не мог потом.

Вот отсюда и идет это всё. Сегодня за юзера пробелы уберем, завтра свой транслит введем, послезавтра вообще какой-нибудь птичий сандарт придумаем. Чтобы вроде как удобнее было.

Я об этих принципах говорю. Вот не нравится мне, что мою фамилию каверкают. И пароль тоже. Хочу пробел - моё право. Ты не хочешь - предупреди. Как допустим тот же mail.ru делает. Но не лапай втихушку.

_____________
Если вам недостаточно собственных заблуждений, можно расширить их мнениями экспертов.

Нужно уважать мнение оппонета. Ведь заблуждаться - его святое право.

Настаивал, настаиваю и буду настаивать на своем. На кедровых орешках.

Нет, не нахожу. Только не объявление нужно, а предупреждение, если он таки ввел. Жабаскриптом допустим. Или аяксом. Ну это если паранойя.

Не понял, что значит "в открытом виде"? Ты боишся, что кто-то перехватит? Ну это совсем паранойя - точно. Так можно докатиться до того, что защищенный компьютер, это выключенный и зарытый на три метра под землю компьютер. Да и то не факт.

_____________
Если вам недостаточно собственных заблуждений, можно расширить их мнениями экспертов.

Нужно уважать мнение оппонета. Ведь заблуждаться - его святое право.

Настаивал, настаиваю и буду настаивать на своем. На кедровых орешках.

ну тебе виднее, - что проще - отсниффить траф или отбрутфорсить хэш.

да и не в этом дело, а в том, с какой стати ты себе на сервер передаешь пароль??? может ты аферист и в дальнейшем используешь этот пароль для попытки войти в другие сервисы с моим аккаунтом?

есть другие варианты?

а нет??? ну как минимум md5 передавать. дальше - дело фантазии.

а защита то от кого? От ...

как то странно выглядит, защитить юзера от себя?
Если от перехвата, то уже давно есть https

в широкие массы https пошел не так уж и давно.

не понял. если ты юзаешь 1 логин и пароль на многие сервисы, то ничто не помешает владельцу сервера сканить регулярно наиболее популярные сайты (в том числе и финансовые).

ну то есть нужно хешировать на клиенте, чтоб у тебя даже соблазна не возникло напакостить юзеру?

дело не во мне, а в прозрачности процесса зачем давать повод сомневаться?

хм, в чем прозрачность то? Юзер никогда не узнает в каком виде передаётся или хранится, его пароль. Тут всё на доверии