Estoy tratando de aprender cómo se desarrolla una aplicación web segura. En particular, no estoy seguro de cómo se envían las contraseñas del cliente al servidor. Para un usuario típico / contraseña formulario de inicio de sesión. Si el cliente envía un usuario / paso de texto sin formato en una solicitud POST a través de HTTPS. ¿Es esto lo suficientemente seguro? Teniendo en cuenta que el servidor tiene hash, el paso de texto sin formato con el salt almacenado usa algo como bcrypt, con suficientes iteraciones.
¿Es este escenario lo suficientemente seguro? Ignorando otros vectores de ataque como las inyecciones de SQL, XSS, etc. Simplemente estoy viendo si el envío de la contraseña de texto sin formato a través de SSL en una solicitud POST es lo suficientemente seguro, o si es necesario algún otro tipo de seguridad, en el lado del cliente.