问Java安全

EN

我有一个客户端服务器模型，在每个连接上都使用SSL。我使用了Java和公共库来编写这个程序。关于SSL安全，我有两个问题：

1) 将明文密码从客户端发送到服务器是否安全？服务器使用BCrypt对密码进行散列和存储。我考虑过发送密码的未加盐散列或密码的弹出散列，但它们真的比以明文发送密码更安全吗？我怀疑。我不认为将密码作为咸散列发送是可行的选择，因为salt需要存储在客户端的某个地方或通过网络发送，因此我不认为它会使其本质上比将密码作为明文发送更安全。由于SSL，其他任何人都不应该能够阅读它，对吗？

2) 在SSL上的加密数据总是被加密到不同的字符串中，如果是这样的话，您可以在以后使用某个字符串的早期加密来获得相同的结果吗？来澄清：

• 如果您现在加密数据，几秒钟后，它是否会终止相同的密码文本？
• 如果您使用加密"test“中的密码文本，您可以稍后发送相同的密码文本来让服务器相信客户端合法地发送了"test”吗？

在任何情况下，都应该假设我不想从我自己(客户机或服务器)的角度来处理这个问题，但是我想从黑客/骗子的角度来处理这个问题。

致以问候。