¿Existe algún peligro al enviar un número PIN único del cliente a mi servidor a través de HTTP?
Alguien está argumentando que está bien ya que solo se usará una vez. Por lo tanto, no hay posibilidad de que un atacante lo reutilice después de que se haya utilizado.
Sí, es problemático.
Un atacante puede interceptar la conexión, devolver un "Inicio de sesión fallido, inténtelo de nuevo" al cliente y proceder a utilizar el pin de una sola vez. Si la transacción es de bajo valor, este puede no ser un problema, pero es trivial evitarlo: use TLS.
En general, no hay razones reales para no usar TLS hoy. Los certificados son gratuitos, la configuración es fácil y los navegadores pronto marcarán los envíos de formularios a través de HTTP como inseguros:
Entonces, aunque puede ser tolerable en algunas aplicaciones, la pregunta es ¿por qué querría eso, cuando es tan barato reducirlo a casi cero?
Lea otras preguntas en las etiquetas web-application privacy tls http