No. De ningún modo. Se envían en texto plano. Sin SSL, una solicitud POST es tan segura como una solicitud GET. Claro, puede que no aparezca en la URL, pero no es seguro de ninguna manera.
¿Se cifrará esta contraseña si no hay SSL?
No, la contraseña no se cifrará. La única razón por la que no aparece cuando lo escribe es simplemente que el navegador lo oculta para que las personas cercanas no puedan ver su contraseña en texto sin formato en la pantalla. Se puede revelar fácilmente inspeccionando el DOM o usando un javascript como este: javascript:alert($('input[type="password"]').value) .
¿Es posible que el mensaje de la publicación sea interceptado de alguna manera, por ejemplo, usando un rastreador de paquetes, y que el intruso vea el texto de la solicitud de la publicación?
Esto es absolutamente posible, y muy fácil de hacer. Un rastreador de paquetes hace exactamente esto, y puede ver los nombres de usuario y las contraseñas POST en texto sin formato. Para alguien que está olfateando solicitudes HTTP, una solicitud POST parece bastante idéntica a una solicitud GET, excepto que una solicitud POST tiene "POST" en la parte superior en lugar de "GET".
No preguntaste, pero sí, las solicitudes de publicación también se pueden falsificar.