Безопасность ajax-запросов

[WebCoder]

Я не занимаюсь обычной профессиональной веб-разработкой.
У меня есть свой любительский фреймворк - он очень простой и удобный.
Но надо подумать о безопасности.

Мое веб-приложение (сайт или phonegap-моб-приложение) общается с сервером через ajax-запросы.
Вместе с данными на сервер передается пароль пользователя.
То есть клиент передает на сервер JSОN и получает обратно JSОN.

Мне понятно что в принципе возможно перехватить пароль.
Но не понятно в каких случаях надо об этом беспокоиться - понятно что публичный вайфай можно взломать.
А если это обычный пользователь использующий обычный домашний интернет?

И решает ли проблему уязвимости использование HTTPS ?

 

[Gopher]

Работаю с js фреймворками и обычно достаточно https. Но если уж сильно хочется обезопасить на случай взлома роутера, то можно придумать метод шифрования пароля перед передачей и соответственно расшифровку на сервере. Например в виде соли использовать имя пользователя или еще что-то. Но тут такой вопрос: А если увидят исходники? Тогда любую защиту обойдут!))))

 

[Full-R]

Используйте HTTPS only и HTTP only cookie. В сервере можно прописать, что обмен допустим только между клиентом и определенным доменом, а также куча всяких security политик существует.
Используйте integrity для скриптов и CSS, но это работает только для HTTPS.