Ho il classico form PHP che tramite Ajax invia user e password ad una pagina lato server che verifica che corrispondano sul database.

E' sufficiente però usare una software come FireBug per verificare user e password in chiaro inviati.

Allora immagino che questo sia un problema di sicurezza, in quanto possano essere intercettate.

Le password sul database sono hashate+saltate per cui nella pagina lato server faccio una verifica sul salt+hash dei dati ricevuti.

La soluzione potrebbe essere quella di saltare+hashare la password prima di inviarla tramite ajax così anche se viene intercettata, inserendeola nel form non sarebbe valida in quanto nuovamente hash+saltata.
Però si potrebbe aver accesso diretto al database usando quella intercettata sul campo password.

E' giusto quello che dico oppure no?
Qualche aiuto/suggerimento?

grazie
ciao