窃取我的POST数据

当用户通过未加密的HTTP提交登录表单时，他们的数据会通过一系列路由发送到您的服务器。在这些路由中的任何一个地方，某个人都可以嗅探数据。此外，如果用户的计算机受到感染，黑客可以在本地嗅探数据。
如果是登录表单，您应该使用SSL，没有别的选择。还要确保用户的密码在数据库中被加密。登录的过程应该是：

1. 用户通过HTTPS提交带有用户名和密码的登录信息
2. 服务器将密码应用哈希算法进行加密，通常使用MD5，但推荐使用SHA256等强密码算法
3. 服务器将加密后的值与数据库中的加密值进行比较

这样，即使您的数据库曾经被黑客攻击，密码也非常难以破解（除非他们使用类似“password”之类的基本密码，但到那时就是他们的问题了）。

是否有意义鼓励用户不要使用他或她的正常密码，因为它不会受到保护？

这会让用户离开。

是的。任何能看到数据包传输的人都可以看到用户名和密码。这使得在开放、共享的Wi-Fi网络等情况下特别容易受到攻击。
我认为你的所有假设都是正确的，这也是为什么在不同安全级别的服务之间共享密码是一个不好的实践。
如果可以的话，我建议你转向SSL登录，部分原因是因为很多用户会忽略你给他们使用常见密码的建议，而且这也是一种良好的实践。在像Firesheep这样的工具变得越来越容易被“普通”人使用之前，它就是一种良好的实践，现在更加重要了。

如果有人使用类似Firesheep的第三方软件监听，是否可以从任何地方拦截我的POST数据？

不可以，只有当流量在他们附近时才能被拦截。

如果上述问题是正确的:

实际上并不正确。

我应该认为我的未加密POST数据对任何人都是公开的吗？

除非它只在局域网内传输，否则是的。如果它只在局域网内传输，则添加“在该局域网上”限定词，答案将是肯定的。

我的网站上的标准登录表单只是一种描绘不存在的安全层的策略吗？

不是。

那么，我应该将登录功能仅视为个性化用户体验的方式吗？

当然不应该在没有加密的情况下进行任何重要操作。

是否有意义鼓励用户不要使用他们通常（假设更安全）的密码，因为在注册和登录过程中这些密码将不受保护？

对于任何系统来说，这都是有意义的。即使通信是安全的，您的服务器也可能在未来被攻击，或者第三方系统可能会被攻击，然后使用那里的数据来攻击您的系统。

那么，我是否应该认为登录功能仅仅是让我个性化用户体验的一种方式呢？ 如果在注册和登录过程中不保护用户正常（被认为更安全）的密码，是否有意义鼓励用户不使用这些密码呢？
这取决于使用登录表单的网站。像 Gmail 这样的大型网站在登录身份验证时使用 https，然后切换到 http。（有报告称，此切换也会引入一些漏洞。）其他网站会在隐藏的表单字段中发送一个盐值。您的原始密码将替换为盐和哈希值。服务器上会重复相同的操作以确保您已发送正确的密码。这些都是在幕后进行的，因此用户无法确定是否发送了未加密的密码。好的网站应该这样做。普通网站可能不这样做。路由器和调制解调器的许多配置页面不使用加密或混淆。