Sto cercando di capire come viene sviluppata un'applicazione web sicura. In particolare, non sono sicuro di come le password vengono inviate dal client al server. Per un tipico modulo di accesso utente / password. Se il client invia un utente di testo in chiaro / passaggio in una richiesta POST su HTTPS. È abbastanza sicuro? Considerando il server hash il pass in chiaro con il sale memorizzato usando qualcosa come bcrypt, con iterazioni sufficienti.
Questo scenario è abbastanza sicuro? Ignorando altri vettori di attacco come iniezioni SQL, XSS ecc. Sto semplicemente cercando di vedere se l'invio di password in chiaro su SSL in una richiesta POST è abbastanza sicuro, o se potrebbe essere necessaria qualche altra sicurezza, sul lato client.