Se il sito non è crittografato, un attaccante attivo che è Man-In-The-Middling la connessione (che è relativamente semplice da fare sul wifi pubblico) può semplicemente togliere i cookie di accesso dalla richiesta, in modo che l'utente pensi che, per qualche ragione, sono stati disconnessi dal sito. L'utente ricollegherà quasi certamente al suo interno, consentendo all'utente malintenzionato di acquisire nome utente e password. Poiché il riutilizzo della password è così comune, per molte persone questo consentirebbe anche a chi attacca di accedere ai propri account su altri siti web, alcuni dei quali potrebbero essere più preziosi per l'aggressore.
Anche se l'utente non accede al sito Web mentre è monitorato, i cookie di sessione saranno comunque trasmessi in testo in chiaro, il che consentirebbe all'utente malintenzionato di impostare semplicemente tali cookie nel proprio browser e verrebbero registrati nel tuo sito web. Firesheep è uno strumento che ti permette di farlo facilmente. Ciò non consente all'utente malintenzionato di accedere alla password dell'utente, ma ha comunque accesso completo all'account.
In termini di altri problemi che potrebbero sorgere dal non utilizzare HTTPS, dipende dal sito web. L'utente malintenzionato è in grado di modificare tutto il traffico da e verso il server, in modo che un utente malintenzionato possa trarre vantaggio dalla fiducia che l'utente ha nel sito per fargli rivelare più informazioni o scaricare malware. L'autore dell'attacco potrebbe anche iniettare degli exploit nella pagina per attaccare il browser dell'utente o altri software sul proprio computer.
Le connessioni protette proteggono anche gli ISP che intercettano e modificano il traffico - Comcast inietta gli annunci nei siti web e AT & T traccia le abitudini di navigazione degli utenti
Oltre alla sicurezza, l'utilizzo di HTTPS ti consente anche di utilizzare ulteriori funzioni del browser che non sono disponibili su HTTP:
- In tutti i browser, HTTP / 2 è disponibile solo tramite una connessione crittografata e può avere notevoli vantaggi in termini di prestazioni rispetto a HTTP / 1.1.
- In tutti i browser, i lavoratori Web (gli script in background che consentono di offrire un'esperienza più vicina a un'app nativa (supporto offline, notifiche push, ecc.) sono disponibili solo se la pagina è stata caricata su HTTPS.
- In Chrome, l'API di geolocalizzazione è stata rimossa per siti non sicuri e è probabile che seguano altri browser.
- In tutti i browser, alcune nuove funzionalità considerate sensibili, come alcune funzionalità hardware, saranno disponibili solo sulle pagine caricate su HTTPS.
Anche se il tuo sito non trarrebbe vantaggio da nessuna di queste funzionalità (anche se non beneficiano della velocità di HTTP / 2 è un caso difficile argomentare IMO), l'implementazione di HTTPS è gratuita utilizzando un servizio come Let's Encrypt , e non è troppo difficile da configurare (ci sono molte guide online), quindi non c'è molto motivo per non usarlo.