1. Что с безопасностью (интересует сугубо личный опыт и свидетельства) вебклиента.
2. режим работы HTTPS вроде как заявлен - он по умолчанию работает?
3. были ли "взломы" базы через вебклиента (тупой брутфорс пользователя "Менеджер" с паролем "123" за взлом не считаем)
(0) Не понятно что ты считаешь за безопасность...
1. Вариант прослушки обмена данных.
2. Вариант повышения прав, когда в веб клиенте поставили вместо id пользователя менедже, id пользователя Дирехтор и получили данные дирехтора.
Второй варинат, думаю никто не раскажет, первый используй сертификаты.