我对Web开发(今年1月开始)和Web安全(不到一周)都很陌生,如果我的问题非常幼稚、错误或者简单得让人觉得无聊,请原谅。
我们公司的主要产品是一个传统的客户端/服务器系统。为了使其更具吸引力,我被分配开发一堆基于简单任务的Web应用程序,以补充该系统整个业务流程为中心的设计。例如,如果用户在组织中的角色是批准采购订单和付款订单,他们可能会发现使用WebApprovals应用程序比打开Purchases和Treasury模块并使用它们来分别批准采购订单和付款订单更容易。
不用说,我所有的Web应用程序都有一个登录页面。当然,我需要它们是安全的。出于这个原因,按照设计,这些Web应用程序只能通过HTTPS使用,永远不能通过普通的HTTP使用。
现在,我想知道在没有任何其他安全措施的情况下通过HTTPS发送密码有多安全。它足够安全吗?有经验的安全领域人士有什么说法?