Ani když bude část webu na HTTP, neznamená to, že se útočník může dostat k session. Např. pokud je session řešené přes cookie, je možné jí nastavit, že se používá pouze pro HTTPS spojení a že není přístupná z JavaScriptu.
Aby bylo jasno, já si myslím, že dnes už není důvod mít někde HTTP – a pokud ještě někde je, měl by být přechod na HTTPS v plánu, ne to omlouvat, že HTTPS vlastně není potřeba. Ale není pravda, že web na HTTP nebo kombinace HTTPS a HTTP automaticky znamená, že web není zabezpečen.