Entiendo que es malo enviar contraseñas en texto sin formato por el cable porque alguien puede verlo y robar su información claramente, y que la solución es usar HTTPS porque la información está cifrada entre los puntos finales.
Si está en una red no confiable donde otras personas pueden ver el tráfico hacia / desde su máquina (a través de algo como wireshark), o el receptor está en una red no confiable, esto tiene mucho sentido.
Pero si está en una red segura y bloqueada y el receptor también está en una red segura y cerrada (pero separada), ¿cuáles son las formas en que alguien puede acceder a su tráfico HTTP sin cifrar?