Técnicamente, no tienen "ninguna seguridad", simplemente les falta cifrado para las conexiones. Es completamente posible que una vez que los datos lleguen al servidor, se almacenen en los campos de contraseña de hash de bcrypt, con protección completa contra XSS, CSRF y cualquier otro ataque que pueda imaginar.
La falta de conexión HTTPS simplemente significa que la conexión entre su navegador y el servidor no está encriptada. Como dice @Blub, esto podría potencialmente permitir que alguien con acceso intercepte o monitoree su tráfico para robar su contraseña o cambiar lo que Usted ve (interceptando el tráfico del servidor a su navegador). Esto no es ideal, especialmente en la actualidad, pero para algunos sistemas se ha considerado un riesgo aceptable, por ejemplo, existen usos limitados para interceptar sitios que no tienen áreas de inicio de sesión, por ejemplo.
Sin embargo, para los sitios con páginas de inicio de sesión, se considera un riesgo más grave, ya que puede ser trivial interceptar algunos tipos de tráfico, especialmente cuando se usan puntos wifi abiertos.
Para los sitios de StackExchange, debería poder acceder a ellos a través de HTTPS agregando la cadena de protocolo https: // al inicio de la URL. Esto no es predeterminado debido a varios problemas con subdominios (sitios Meta).
Y, sí, si usa la misma contraseña en varios sitios, un pirata informático que capture sus credenciales permitiría el acceso a todas ellas. ¡No uses la misma contraseña en todas partes!