Számít az? Honnan tudod, hogy nem valami teljesen más jelszót küld a szervernek clear text, mert módosított szoftver fut?
Vedd észre, hogy a szerver oldal tudja kezelni a kliens oldal által küldött hash-t akár úgy is, mint clear text jelszó és tolhat rá akármennyi egyéb hash algoritmust, sót, borsot, fűszert. A lényeg az, hogy a szerver oldalra nem jut át clear text jelszó semmilyen formában, mert már a kliens oldal készít belőle hash-t.