[1] 素の HTTP (TLS を使わない TCP/IP 上の HTTP) は、もはや安全とは考えられていません。 原則として HTTPS を用いるべきです。
[2] HTTP ではしばしば秘密の情報がやりとりされます。例えば次のものがあります。
[3] TLS を使わないと、こうした情報が通信路上で盗聴される危険性があります。 中継するサーバーだけでなく、無線LANなど脅威はどこにでもあります。
[4] 動機は私怨かもしれませんし、国家権力かもしれませんし、 興味本位かもしれません。盗聴目的は色々考えられるので、どんな通信でも危険性はあると思っておくべきです。
[5] 子供同士の雑談チャットでも、仲の悪い同級生は悪用したいかもしれません。
[9] 盗聴された当事者だけでなく、認証情報を盗まれた Webサービスの管理者や他の利用者だったり、グループウェアを共有する他のメンバーだったり、複数の人達が被害を受けるおそれがあります。 Webサービスの管理者は、被害を防ぐため、 HTTPS でのみサービスを提供するべきです。
[7] 通信が検閲されるかもしれません。
[8] 国家権力によるもの (例: 中国の金盾) なら、仕方がないかもしれません。組織の管理者が設定したもの (例: 学校ネットワークのフィルタリング) なら、正当な理由もあるかもしれません。しかし、悪意を持った第三者が気付かないうちに検閲を行えるとしたら、とても危険なことです。
[10] 検閲されて通信を妨害された利用者はもちろん、情報の提供者 (Webサイトの管理者や寄稿した著者・投稿者) も不利益を被ることになります。 Webサービスや Webサイトの管理者は、確実に自身のサイトの内容を伝えるため、 HTTPS でWebページを提供するべきです。
[6] 通信内容が改竄されるかもしれません。素の HTTP では改竄されているかどうか、検知する確実な方法はありません。
[11] 一部の通信事業者は、通信の最適化などと称して、通信路中でデータを改竄して転送することが知られています。利用者がそのことを十分承知している場合は問題ありませんが、そうでなければ Webサイトの正確な内容を知ることができなかったり、 Webサービスの機能を十分利用できなかったりするかもしれません。 Webサービスの提供者にとっても、利用者に自身のサービスを正常に提供できず、しかもその原因を把握するのが困難かもしれません。
[13] 例えば高画質の画像を提供することを売りにした有料サービスは、通信路中で勝手に画像が改竄され、画質が劣化して利用者から苦情が来るかもしれません。しかし利用者と全く同じ通信サービスを利用していなければ再現性がなく、原因が特定できないかもしれません。
[14] 一部のインターネット接続サービス (公衆無線LANサービスなど) が Webページ中に広告などを挿入する手法が使われたこともあります。 その延長で悪意を持った通信サービス提供者が通信内容や Web Storage などに保存された情報を盗んでいても、気づくことはほとんど不可能です。
[19] 通信路上で開発者が意図しない形でデータが改竄されているとすると、 クライアント側で動作するスクリプトなどは意図した通りに動作しないかもしれません。 著者も利用者も不利益を被ることになります。
[15] WebサービスやWebサイトの管理者は、自サービスの利用者と自身のコンテンツを守るため、 HTTPS でのみ Webページを提供するべきです。
[17] DNS のサーバーや応答の改竄で、攻撃者のWebサーバーが本物のサーバーになりすましするかもしれません。そのような事例は枚挙に暇がありません。素の HTTP では、利用者がこれを検知するのは難しいでしょう。巧妙に偽装されたサイトでは、 まったく気付かないかもしれません。
[12] 素のHTTPは、 DNS rebinding に対して脆弱です。
[16] 一部のインターネット接続サービス (公衆無線LANサービスなど) では captive portal での認証を経ないとインターネットへの接続を提供しない形となっていることがあります。 これも原理的になりすましでしかありません。 悪意を持った通信サービス提供者が通信の提供以上のことを行っていても、 利用者は気付かないかもしれません。
[18] WebサービスやWebサイトの管理者は、自サービスの利用者と自身のコンテンツを守るため、 HTTPS で Webページを提供するべきです。