Tecnicamente, non hanno "nessuna sicurezza" - mancano semplicemente di crittografia per le connessioni. È del tutto possibile che una volta che i dati raggiungono il server, questo viene archiviato nei campi della password hash di bcrypt, con protezione completa contro XSS, CSRF e qualsiasi altro attacco a cui puoi pensare.
Una mancanza di connessione HTTPS significa semplicemente che la connessione tra il browser e il server non è crittografata - come dice @Blub, questo potrebbe consentire a qualcuno con accesso di intercettare o monitorare il tuo traffico di rubare la tua password, o di cambiare cosa vedi (intercettando il traffico dal server al tuo browser). Questo non è l'ideale, soprattutto oggigiorno, ma per alcuni sistemi è stato considerato un rischio accettabile - ci sono probabilmente usi limitati per l'intercettazione di siti che non dispongono di aree di accesso, ad esempio.
Per i siti con pagine di accesso, tuttavia, è considerato un rischio più grave, dal momento che può essere banale intercettare alcuni tipi di traffico, specialmente quando si utilizzano punti wifi aperti.
Per i siti StackExchange, dovresti essere in grado di accedervi tramite HTTPS aggiungendo la stringa di protocollo https: // all'inizio dell'URL - questo non è predefinito a causa di vari problemi con i sottodomini (siti Meta).
E, sì, se si utilizza la stessa password su più siti, un hacker che acquisisce le proprie credenziali consentirebbe l'accesso a tutti loro. Non usare la stessa password ovunque!