Jag tror att detta är rätt kategori för denna fråga.

Hur pass "osäkert" är det att göra inloggningssystem och dyl. utan att använda SSL (https)? Jag har inte forskat så mycket, men det verkar inte vara allt för många webhotell som stödjer SSL.

Det är olika, beroende på situation. Men när man använder HTTP så skickas ju lösenorden i klartext, vilket kan fångas upp av en elak människa. Om du till exempelvis sitter hemma och loggar in på en site så är det mindre troligt att någon avlyssnar trafiken i förhållande till om du loggar in på en skola. Om ingen avlyssnar trafiken så är det ju "säkert". Problemet är att man aldrig riktigt vet om någon avlyssnar trafiken. Så om du vill ge dina användare bästa möjliga säkerhet så skall du använda dig av SSL!

Du kan få det rätt säkert även utan https, genom att använda java/javascript kan man se till att lösenordet aldrig lämnar klientens dator i klartext.

Servern genererar en "salt" dvs en slumpmässig kod varje gång nån besöker inloggningssidan. Användarens lösenord+salten körs genom en hashfunktion (som kan vara gjord i t.ex Javascript) på klientens dator, denna skickas sen till servern som verifierar den genom att köra samma salt i samma typ av hash funktion. Lösenord ska aldrig skickas/lagras i klartext, inte ens på servern. Det finns man-in-the-middle attacker mot HTTPS också.

Fast inte om du slår av SSL 2 och SSL 3 i din browser. TLS 1 (som är efterföljaren till SSL 3) skall stå emot man-in-the-middle attacker (givet att ingen annan kan generera ett certifikat med samma namn med en annan CA som klienten också accepterar). Rätt använt är TLS säkert.

Men för att kommentera den ursprungliga frågan:
Skall du vara säker måste du köra HTTPS med TLS för att skydda förbindelsen mot avlyssning. Å andra sidan - hur stor är risken att din sida som du tänkt lägga på ett webhotell är av sådant intresse att någon orkar göra allt arbete för att lyssna av trafik på rätt ställe för att komma åt några lösenord...

Jag tycker egentligen att det är konstigt att inte fler kör med SSL. Hur många har skulle ge mig sina lösenord till allsköns communitys som de loggar in på? Troligen ingen. Men att logga in och skicka det i klartext, det är inga problem.

Kostnaden för ett cert är nästan ingenting, så jag ser inget hinder att börja köra med det.

Lastar det inte servern rätt mycket mer att kryptera trafiken?

många kör inte med det för att webhotellen inte erbjuder det

Men för äkta SSL krävs det ett IP-nr/cert, så man måste ha ett unikt IP/domännamn.
CPU belastningen på servern ökar en del också.

Man behöver ju inte köra mer än inloggningen via SSL. Då blir ju den extra belastningen på servern minimal.

Det verkar som att det blir relativt kostsamt att ha SSL, ty det är få webhotell som erbjuder det, åtminstone av de billigare varianterna. Såg ett exempel på 995 kr / år bara för SSL. Men det där med lösenord + salt i en hashfunktion testade jag nyss och det funkar ju utmärkt! Det viktigaste lär väl vara att inte skicka lösenord och liknande i klartext, men är man väl inloggad så spelar det väl ingen större roll om man kör med https eller http...

Etferosm det bara är initieringen av SSL/TLS osm är kostsam finns det egentligen ingen anledning att byta till "icke SSL" efter inloggningen när man väl satt upp en krypterad förbindelse. Nya sessionsnycklar förhandlas normalt sett inte fram förrän efter väldigt mycket trafik varför det är en onödig optimering att köra icke-SSL efter inloggningen (med de potentiella säkerhetsbristerna) jämfört med kostnaden för kryptering i en redan etablerad kanal/session.

83 kr i månaden för att få besökarnas förtroende är väl inte så dyrt?

Nej det är ett bra pris om IP nummer ingår, Aleborg tog 125/mån för IP+SSL.
Loopia skriver att SSL ingår gratis i deras webhotell, men det tror jag inte stämmer eftersom det krävs unikt IP nr...

Hemmasnickrade "system" i JavaScript och liknande stoppar inte en MITM-attack... Det är SSL som gäller om man vill bättra på säkerheten.

Skulle man kunna dra den slutsatsen att så fort man ska ha ett inloggningssystem eller liknande så är det SSL som gäller, allt annat är ingenting att ha?

Håller inte med dig helt, visst är SSL enkelt och bra men det finns MITM attacker mot det också, både enklare (DNS/ARP spoof) och mer avancerade (DNS/ARP spoof+giltigt cert). Man kan bygga helt säkra egna loginsystem med Javascript (eller Java) om man vill, det kräver iofs en del arbete, men det går.

I ett inloggingssystem som går över vanlig HTTP hjälper java-/javascript på klienten att skydda lösenordet, ifall nån avlyssnar får dom bara "sessionsnyckeln" som är giltig under begränsad tid.

En annan aspekt är om servern skulle vara hackad och hackern vill "samla" lösenord, då hjälper inte SSL ett skit, likaså om en elaksinnad anställd med tillgång till servern skulle få för sig saker, i dessa fall skulle en klientbaserad lösning skydda lösenorden bättre. Jag skulle tro att dom flesta grövre IT-brotten bygger på att det finns en insider på företaget som blir utsatt. Det ultimata är Java+SSL tillsammans, då börjar vi snacka riktig säkerhet, men det är en annan historia... B)

Nej det kan man inte.
Det säjer ju sig självt att det inte fungerar om man måste ladda ner själva "krypterings-applikationen" över en osäker förbindelse.

Nej, 100% säkra system går nog ej att fram, jag menade dock "lika säkra", sorry.
Dvs. samma styrka på kryptering och samma svaghet, MITM.
När man gått över till TLS och DNSSEC kommer iofs https-protokollet att bli bättre än vad det är idag.