il server deve supportare https

secondo me, anche se cifri la password, io la potrei "recuperare" gia' cifrata e passarla al server http
ecco perche' dico che se non sei in https non puoi parlare di sicurezza