Una forma de ver el problema es la siguiente: ¿por qué no desea utilizar SSL? La sobrecarga es leve, y el precio del certificado es intrascendente para una empresa. Tal vez, en lugar de buscar razones para usar SSL, deberíamos aplicarlo a menos que haya una razón conocida y explícita por la que no deberíamos hacerlo.
De todos modos, para su situación específica y con el punto de vista del atacante: un sitio web no SSL es "seguro" siempre que el portal de pago protegido incluya una descripción explícita de lo que el cliente está comprando. El cliente debe ver , a través de la página web de SSL, una descripción inequívoca de lo que está pagando. Una simple referencia de contrato opaca no es suficiente, porque el cliente realmente no puede saber, entonces, lo que vio en una página web sin SSL es realmente lo que el servidor envió desde el otro lado.
En general, los atacantes activos pueden propagar un caos considerable en un sitio web desprotegido: desfiguración, descarga automática de malware en las computadoras de los clientes confiados, ... pero este vandalismo crudo a menudo se detecta como tal. Una acción mucho más dañina sería solo insertar alteraciones sutiles en el funcionamiento del sitio web. Si el cliente compra un paquete y descubre solo al desembarcar en una remota isla soleada que, a diferencia de lo que él pensaba, su paquete no incluía la reserva del hotel, entonces se enfadará; y un atacante sutil puede hacer que esa situación desafortunada ocurra al alterar los contenidos que no son SSL del sitio web. Si quisiera aplastar completamente el negocio del sitio web de venta de vacaciones de su cliente, lo haría de esa manera.
La mayoría de los sitios web evitan los ataques por pura misa: simplemente no hay suficientes atacantes en todo el mundo para realmente destruir todos los sitios vulnerables. Es una protección contra la seguridad bastante eficaz, pero de naturaleza heurística. El uso de SSL en todo el sitio no es una forma costosa de disminuir la dependencia de la suerte.