メモで、

ちなみに俺は昔入力フォームはSSL、actionが非SSLという恐ろしいものを見たことがある。

という怖い例を思い出したついでに、関連して思い出した他のネタも書いておこう。

• 入り口はBASIC認証がかかっているんだけど、そこからのリンク先はBASIC認証の対象外

これは使っている人は結構気づきにくいよね。ふつうに配下も同じBASIC認証の対象内だった場合と、通常遷移時の挙動が変わらないし。

• SSLでPOSTされた結果を、そのままメールに流している

これってどのくらいのリスクなんだろうな？　サーバー回りのネットワーク環境による？　メールがローカルネットワーク上しか流れないような設計になっているか、あるいは同一サーバー上のメールボックスにためて、pop3s等でしか読めないようにするならば問題ないだろうけど。