Например при регистрации на сайте? Или как вообще правильно передавать конфиденциальные данные от пользователя к серверу и обратно?
Открытый текст чем опасен? Вот потому и делают https на этапе аутентификации (пароль уйдет по защищенному соединению), потом можно выдать SID и авторизировать по нему (и уйти с https на http), так сделано в live у микрософта. Если нужно полностью скрыть работу юзера то под https и работать се время.
очень опасно! очень! =) только надо три раза подумать, о том кто ты такой и кто твои посетители =) и уже от этого плясать.
По хорошему конечно неплохо бы иметь SSL, но в общем-то атаки man in the middle не так уж часты, скорее у человека попадёт троян с кейлогером и тут никакое шифрование не поможет. Нормальный сертификат - штука дорогая. А те, что без валидации компании, имеют неприятную особенность - стоит включить в страницу ресурс не по HTTPS соединению и всё - человеку будет показывать в IE предупреждение на каждую загрузку страницы (отрубается глобально в настройках IE только) + в строке адреса будет помечать в хроме перечёркнутым https, в FF как-то по своему и.т.д. SSL штука не простая и не всегда есть возможность её просто так легко подклюсить. А валидацию пройти юридическим лицом ещё и не везде возможно. Но за безопастностью следить конечно надо: HTTP Only cookies и прочие предосторожности.