Вот и получается, что если без HTTPS вы залогинились на форум - то скорее всего ваш ник/пароль уже срисовали
Но это неточно.
Во-первых, если заход со своего устройства, на котором запомнен логин, то авторизация делается без передачи пароля, по сохраненным "печенькам" (кукисам).
Во-вторых, даже если происходит авторизация с указанием пароля, то опять не факт, что пароль передается. Если движок форума не дебилы делали, то для авторизации должны использоваться безопасные протоколы, при которых сам пароль не передается ни в каком виде, а передается только необратимый хэш от пароля и контрольного одноразового ключа. Сервер выполняет у себя то же самое преобразование и сравнивает результат с полученным хэшем.
Получается, единственный риск потери пароля путем простого анализа траффика - это момент регистрации на сайте нового пользователя. Но мне сложно представить, чем ценен логин свежезарегистрировавшегося из кафе скайдайвера.
Остается риск более сложных атак, с подменой сайта, но то такое... если уж от этого защищаться, то комплексно.
То есть, резюмируя, практической критической необходимости в SSL для этого сайта нет.
Но есть чисто психологическая неприятность в том, что некоторые браузеры в том или ином виде вопят и выставляют такие сайты как потенциально опасные:
И среднестатистический обыватель напряжется, не пытаясь вникнуть в суть. Получается SSL тупо навязывают, чем и пользуются продавцы записей в СУБД.
В общем, на мой взгляд можно без ssl. Только надо решить проблему с тем, чтоб не перенаправляло по-умолчанию на https, а то я думал что сайт лежит, пока не подсказали, что надо по http войти.
Но если решите скидываться - я поучаствую.