Firebug может видеть пароль, потому что он действует как прокси на вашем клиенте (одна из двух конечных точек коммуникационного пути).SSL / TLS (https) шифрует данные, передаваемые между двумя конечными точками (представьте себе, что это защищенный туннель, где единственный способ увидеть реальные данные внутри - это оказаться на одной из конечных точек).Поскольку Firebug работает на клиенте, он имеет доступ к конечной точке, где данные не шифруются.Подумайте о туннеле, в который вы можете передавать данные, который будет защищен при транспортировке;Firebug находится у входа в этот туннель, поэтому он может видеть все, что входит (и выходит).
Как минимум, отправка паролей (и любых других конфиденциальных данных) должна осуществляться через SSL / TLS, чтобыне позволяйте кому-либо / чему-либо, находящемуся не в конечной точке туннеля, видеть данные.В идеале вам нужно запускать все через https, чтобы предотвратить атаку перехвата сеанса (все об этом вы можете прочитать в кратком обзоре Википедии ).Любой сайт, не шифрующий хотя бы обмен учетными данными (паролями и т. Д.), Не следует передовым отраслевым практикам и должен рассматриваться как небезопасная реализация.