Это будет уязвимость.
Любой человек посередине, который может видеть сессионный cookie, сможет отправлять запросы как пользователь. Это почти так же плохо, как перехват пароля. Человек в середине не сможет самостоятельно устанавливать новые сеансы, но он сможет делать все, что может сделать пользователь после входа в систему.
Использование SSL делает гораздо больше, чем просто скрывает имя пользователя и пароль при входе в систему.
Во-первых, он обеспечивает конфиденциальность всех сообщений между клиентом и сервером. Пароль легко распознать как конфиденциальные данные, но может быть не так очевидно, какие функции приложения также используют конфиденциальные данные. Защита любого пользовательского ввода и динамически генерируемого контента является более безопасной и простой, чем попытка тщательно оценить проблемы конфиденциальности каждого поля данных, используемого в вашем приложении. Статическое содержимое, такое как изображения, страницы справки и т. Д., Вероятно, не так чувствительно, но, проанализировав запросы на это содержимое, злоумышленник может получить представление о том, что пользователь делает на сайте.
Во-вторых, SSL обеспечивает целостность для каждого запроса. Это препятствует тому, чтобы злоумышленник изменил или добавил свой собственный злонамеренный ввод к пользовательским запросам, или изменил результаты, произведенные сервером.