Как защитить ajax-данные?

Это очень плохой совет. Никогда не используйте свои алгоритмы шифрования и даже свои реализации чужих алгоритмов шифрования, используйте общепринятые подходы и стандартные библиотеки, разработанные именно для ваших целей, т.к. даже самый надежный криптоалгоритм можно неправильно реализовать и неправильно использовать.

Владимир Дубровин, никто не говорит о ЗАМЕНЕ! Я говорю ИМЕННО ПРО ДОБАВЛЕНИЕ!

Владимир Дубровин, для каких целей годится AJAX+HTTPS ?

datarmatan, это неправильный вопрос, на него невозможно ответить, можно ответить на вопрос годится ли он для ваших целей. В целом, вы можете считать, что стоимость непосредственной атаки на "классический" https это порядка 100000 долларов, т.е. они доступны всем крупным игрокам и правительственным агентствам + https не защищен на MitM к серверу, т.е. вас может атаковать ваш хостер или провайдер или канальный оператор. В большинстве случаев это достаточный уровень защиты, т.к. хостер может вам что-то внедрить непосредственно на сервер, и наверняка имеются более "дешевые" способы атак для других сторон, например вынести ваш сервер по поддельным документам.

А если вы реализуете свой клиент с самоподписанным сертификатом и пиннингом (или сделаете соответствующую конфигурацию, например, Firefox убрав в ней доверие ко всем сертификатам кроме вашего) и уберете на серверной стороне все лишние cyphersuit'ы (оставите, например, ECDHE-ECDSA-AES256-GCM-SHA384 или ECDHE-ECDSA-CHACHA20-POLY1305 если не верите правительственным агентствам), то получите весьма надежную в плане криптографии конфигурацию.