В модели обеспечения безопасности HTTPS самая слабая часть является списком доверяемого CA в браузере. Существует много способов, которыми кто-то мог ввести дополнение CA к списку, что пользователи будут доверять неправильному парню.
Например, общедоступный компьютер или ПК в Вашей компании. Администратор мог вынудить Вас положить, что CA вышел один, это могло быть очень небезопасно с прокси-сервером HTTPS с реле HTTPS. В результате они будут способный ШПИОНИТЬ Ваше сообщение, вход в систему, и пароль даже браузер говорит Вам, которые Ваш находятся на доверяемом соединении SSL.
В этом случае, что может, разработчик веб-приложения мог сделать для защиты пользователя и также системы?