Aby to nemohol odpočuť, tak sa používa HTTPS. Pri tučnom klientovi sa zvykne predpokladať, že je nainštalovaný na bezpečnom počítači (kde je používateľ prihlásený do domény). Autentifikácia klienta potom postačuje aj cez meno/heslo, ale keď chceš, tak môžeš použiť Kerberos, klientské certifikáty, whatever - všetko závisí od prostredia, v akom má aplikácia fungovať.