Пока не оч понятно разница от обычного исполняемого кода

И вообще для JIT существует довольно много векторов атаки. Поэтому современные JS движки принимают довольно много мер что бы этого не произошло. Хотя и есть предложения например завернуть все это в SGX enclave к примеру:
https://acmccs.github.io/papers/p2405-frassettoA.pdf

Тогда в принципе можно меньше полагаться на надежность самой песочницы JIT движка. Но опять это решение не для iOS

Разница существенная. Нативный код динамически не меняеться в зависимости от путей исполнения, стало быть все это можно статически проанализировать, что Apple и делает через процесс review. Но дело не в этом, а скорее в том, что сторонний JIT не в состоянии обеспечить надежность. Кроме того еще и зависит как этот JIT используется и к какому API имеет доступ. Например можно подглючить родной для Apple JSC, но он все равно будет в jitless режиме если только это не WKWebView

Снова про маски: https://www.inverse.com/mind-body/masks-breathing-in-less-coronavirus-means-you-get-less-sick

Популярно, но с кучей ссылок.

Там сбер ответил

Всё жду раньше я предполагал, что в Сбере работают разработчики, которым достаточно технических знаний о сложности паролей

А на тот случай если вы забудете свой оригинальный пароль мы так же еще всегда принимает пароли вроде qwerty и 123456. Не переживайте это безопасно. Ваш Сбербанк

Я это форвардну.

Да, ок

решил сбросить пароль https://gyazo.com/392c014347c6b60769e974276ac0b68d

Следующий этап - автоисправление пароля

Ввёл passwrd, он принял даже с паролем password

ввёл KJBFEH, он принял тоже с паролем password

нуачо

Хотя было подобное на каком-то популярном сервисе в нулевых.
Только там была тема с: "Возможно вы имели ввиду пароль *верный_пароль*".

Правда, я тут скорее ставлю на то, что сммщики не знают слова "хэшировать", чем на то, что они реально не хэшируют.