Ok, per essere chiari, NON dovresti farlo come sviluppatore del sito, ma se hai bisogno di lavorare con un sito che si comporta in questo modo, la mia risposta è progettata per dire cosa può essere fatto in sicurezza. Fondamentalmente non puoi fidarti di nulla sulla pagina stessa, tutto quello che puoi fidarti è che se il certificato SSL si risolve, allora il post sta parlando al server legittimo per l'URL che afferma di essere. Devi convalidare manualmente che sta inviando a quell'URL e che è l'URL appropriato. Questo può essere fatto solo se la risposta raggiunge lo stesso URL di primo livello che ha servito la pagina poiché sai che stai tentando di connettersi a quel dominio di primo livello.
Finché l'utente stava verificando che il post target era il server previsto e quella post-connessione era HTTPS e che non c'erano script che potevano alterare il contenuto presente sulla pagina e il browser non inviava tramite un collegamento HTTPS che non ha un certificato valido per l'URL inviato, quindi il modulo sarebbe perfettamente sicuro. Si noti che è possibile conoscere il server previsto solo se sta pubblicando sullo stesso TLD di come la pagina è ospitata. Ad esempio, non sapresti se www.bobp.com ti dice di inviare il modulo a www.bobspayments.com era valido. È anche possibile che se le stesse informazioni inviate a due servizi diversi facciano cose diverse, allora un utente malintenzionato potrebbe farne uso. Il problema è che un utente non lo farà. Protegge dallo sniffing passivo, ma non fornisce all'utente la conferma che il sito è legit che DOVREBBE (ma probabilmente non lo farà in molti casi) sollevare preoccupazioni da parte dell'utente.
Un aggressore MITM attivo potrebbe semplicemente cambiare pagina per restituire loro le informazioni, ma poi di nuovo, questo potrebbe essere fatto anche se la pagina stessa fosse HTTPS poiché molti utenti non noterebbero se si trattasse effettivamente di una pagina HTTP che era restituito, quindi non sono sicuro se ci sia davvero una minaccia significativamente più grande da un MITM attivo in entrambi i casi.
Il vero problema sarebbe l'esperienza dell'utente e il fatto che si presenti all'utente in quanto la pagina non è protetta, quindi HTTPS è ancora preferibile per l'intera pagina per questo motivo. Per chiarire, c'è molto che può andare storto se i contenuti della pagina non sono autentici, quindi è preferibile provare l'autenticità, ma finché le informazioni vengono effettivamente inviate su SSL, saranno protette. Il problema è garantire che sarà senza rivedere manualmente il codice della pagina.