Os sites que transmitem dados confidenciais (como credenciais ou cookies que atuam como proxy para credenciais), claramente colocam seus usuários em risco. Qualquer método que possa ser usado para interceptar e registrar tráfego (sniffers, NICs Wi-Fi em modo monitor, etc) será adequado para reunir essas credenciais. As sessões podem ser sequestradas, as respostas de servidores remotos podem ser falsificadas, etc. Todos os tipos de maldade resultam da movimentação de dados à distância.
Apenas mover dados de credenciais do usuário por HTTPS não é suficiente. Se você estiver usando cookies que substituem as credenciais do usuário, você também não poderá movê-los por HTTP ou corre o risco de comprometer a sessão do usuário.
Como desenvolvedor, você está fazendo um desserviço aos seus usuários, caso não esteja usando HTTPS para movimentar suas credenciais. Isso geralmente significa mais utilização da CPU em alguma camada de sua infraestrutura e opacidade do tráfego à medida que se aproxima da borda da rede. Isso significa criar uma arquitetura de software que permita a entrega de conteúdo "em massa" (imagens estáticas, scripts estáticos, etc.) em texto não criptografado, mas fornecendo conteúdo personalizado (ou seja, conteúdo para o qual a composição é controlada pelo recebimento de credenciais do usuário remoto ) através de meios que permitam a transmissão segura de credenciais.