Cita: Si por lo menos consigues que no se vea en claro el usuario y el password ya habras conseguido bastante.
He seguido tu consejo, y lo he hecho de la siguiente manera: en el registro y en el login, antes de hacer el submit, Javascript hashea la clave con el algoritmo sha-256 y lo guarda en la base de datos.
También tengo un código en el registro de usuarios que encripta desde Javascript en el cliente con el algoritmo AES-128 (dado un SecretKeySpec, un IvParameterSpec, y un String personalizado secreto) y desencripta correctamente luego desde el lado del servidor en Java. Esto último lo hago para enviarle la contraseña en texto plano al correo del usuario (lo haré por gmail, que ya viene con SSL).
¿Estoy cometiendo algún fallo garrafal? ¿O está todo "Ok"? Me refiero al tema de seguridad.
Cita: Puedes generar y enviar desde el servidor siempre un token para usar como clave con la que encriptarlos y asi el valor encriptado cambiara cada vez. Asi aunque se capture la informacion solo servira para un uso.
No he entendido esto del "token", ¿te refieres a la cookie JSESSIONID?