Una pagina senza TLS (ovvero SSL) non è sicura contro gli intercettatori o gli attacchi Man-in-the-Middle. Non darei loro alcuna informazione che voglio mantenere segrete come carte di credito o password che non voglio cadere nelle mani di un aggressore. Tuttavia dirò di usare password stupide per gli account che non mi preoccupo di cadere nelle mani di un utente malintenzionato (come un account gratuito per leggere articoli di Washington Post).
Certo che non significa che qualsiasi utente sulla rete possa sempre banalmente ascoltare o lanciare un attacco MitM. Ad esempio, la maggior parte delle LAN sono configurate in una topologia di rete a stella, il che significa che, a meno che tu non abbia accesso allo switch centrale (in genere solo amministratori o persone che lavorano su un ISP), non è facile origliare.
Certo, il wifi non criptato è diverso e rende facile origliare. Anche wifi con uno schema di sicurezza rotto come WEP o dove si conosce la chiave pre-condivisa e si osserva l'handshake WPA che genera la chiave transitoria pairwise.