Si on limite le https à la page de login, le mot de passe envoyé est crypté. En retour, on reçoit un cookie de session comportant une clé, et envoyé lors de toutes les requêtes faites ensuite.
Mais si ces requètes sont faites en http, le cookie de session est envoyé en clair, et on peut l’intercepter et l’utiliser.
On perd donc tout le bénéfice du cryptage du mot de passe.
Pour éviter ça, il faut passer tout le site en https.
