külön login page kell és csak azt kell védeni, nem kell az oldal teljes forgalmát ssl-ezni
Sajnos ennyire nem egyszerű a helyzet. Ha csak a login page van ssl-en, akkor ugyanúgy meglehet szerezni MITM a user/pass-t. Nem véletlenül állt át a Google sem a teljes https gmail-re.