In der Regel wird es glaube auf Grund des Rechenaufwandes nicht gemacht.

Der Rechenaufwand bei einem Salt-Algorithmus ist idR. fast nicht vorhanden: hash(password + salt)

Der Grund warum man es nicht macht ist meistens Faulheit oder Unwissen.

Weil dann kann er auch gleich das Klartextpasswort mitsenden (notfalls in einem weiteren Hidden Input Element)

Darum sagte ich ja, dass es in jedem erdenkbaren Szenario keine große Rolle spielt ob Klartext, Hash oder salted Hash.

Wenn der Angreifer hingegen den Traffic nicht überwachen kann ist es ebenfalls egal.