Wie hier schon erwähnt wurde: wenn der Benutzer sensible Daten (Passwörter) unverschlüsselt verschickt, dann hat er schon verloren. Dabei ist es unerheblich, ob der Request überhaupt den Server erreicht (sprich: Port 80 geöffnet ist) oder ob ein Redirect gemacht wird. Die beste Lösung wäre: dem Benutzer eine Seite präsentieren, auf der hingewiesen wird, dass er eine unsichere Verbindung verwendet hat und dass sein Account deshalb gesperrt wird (wenn die Username-Passwort-Kombination korrekt war). Ansonsten ist die Verwendung von SSL sinnlos...