1. A senha é sempre enviada encriptada utilizando md5 para o servidor. Apesar disto não garantir que ninguém consiga utilizar a chave encriptada para logar com a conta de um cliente, isto garante que ninguém irá saber qual é a senha original. A senha é mantida encriptada no servidor, portanto mesmo um ataque ao DB não revela a senha dos usuários

2. Uma vez funcionando o ssl no site, as compras serão feitas dentro do ambiente seguro com certificado digital. Aí explica-se o cadeadinho indicado no browser etc... quando em modo seguro (https:) todas as informações são encriptadas entre o cliente e o servidor, o que garante a proteção dos dados.

3. Vale sempre chamar a atenção do usuário para ter anti-vírus e anti-spyware. Toda a segurança do mundo fica quase inútil se a pessoa tiver um keylogger instalado na maquina dele, a não ser que a gente começe com coisas tipo do BB em que tem um teclado virtual para digitar a senha. No caso o mais importante é proteger o # do cartão de crédito dos clientes, então se for este o caso, podemos permitir a digitação do cartão apenas via teclado virtual etc.