Se você começar com um endereço https://
, tudo será criptografado entre seu computador e o servidor remoto, para que seu ISP não possa interceptar nenhum de seus dados † * . Seu ISP pode facilmente visualizar qualquer conexão não-ssl ( http://
).
Observe que o firesheep plugin do firefox expôs um buraco nesse mecanismo no ano passado. Muitos sites usam https apenas para o seu login inicial e, em seguida, voltam para o http para o restante do tráfego. Neste caso, o seu ISP pode interceptar o seu tráfego depois de ter iniciado sessão. Outra pessoa na sua rede local também pode executar o plug-in firesheep e sequestrar a sua sessão com o facebook e fingir-se.
A maioria dos grandes sites está fazendo a transição para https o tempo todo para corrigir esse problema. Não é realmente algo com o qual você precisa se preocupar muito em sua rede doméstica, mas você deve estar ciente de como isso funciona.
† Assumindo que você não está ignorando os avisos de certificado, e seu computador / navegador não foi comprometido.
* Ele também pode ver o nome do host que você está solicitando de um host possivelmente compartilhado. Desde TLS1.0 o nome do host é transmitido em texto simples (SNI)