OK. Давайте разберем этот вопрос немного и рассмотрим несколько вещей здесь.
Во-первых: вы говорите, что знаете, что HTTPS "безопасен". Давайте уточним это немного.
HTTPS - это механизм шифрования, и не более того, поэтому использование HTTPS само по себе не гарантирует «безопасность» в более широком смысле. Если вы используете HTTPS, все, что вы на самом деле знаете, это то, что любая информация, отправляемая из браузера вашего посетителя на ваш сервер, будет отправляться по зашифрованному каналу связи, например, для защиты от Man-in-the-Middle Приступы .
Хотя это важно, использование шифрования / HTTPS в никак не защищает вас от любого другого числа других потенциальных уязвимостей, включая сломанные механизмы аутентификации, инъекции SQL, межсайтовый скриптинг (XSS) и множество других.
Если вам интересно узнать больше об информационной безопасности в целом, я настоятельно рекомендую вам прочитать Секреты и ложь Брюса Шнайера, уважаемого авторитета в области безопасности. Сейчас эта книга немного устарела, но, по моему мнению, содержащаяся в ней информация очень хорошо устарела.
Во-вторых: Ясно, что использование HTTPS не будет никоим образом защищать вас от программ-шпионов и т. Д. Помните, что HTTPS просто обеспечивает шифрованную связь, но ничего не может поделать.
В-третьих: как сказал SLaks, MD5, вероятно, не лучший алгоритм хеширования, который можно использовать. Хотя я ни в коем случае не являюсь экспертом в области криптографии, я думаю, что вы все еще в достаточной безопасности, если вместо этого используете SHA1 (плюс сильную соль ). Насколько мне известно, MD5 потерпел некоторые математические поражения за последние несколько лет, что ослабило его безопасность.
Если вы заинтересованы в изучении мельчайших деталей веб-безопасности, я также настоятельно рекомендую Справочник хакера веб-приложений , который я считаю отличным учебником по этой теме.
Надеюсь, это полезно.