Miért is nem? Nem, a "be kell jelentkezni" válasz nem játszik, mert onnantól kezdve, hogy plaintext, gyakorlatilag ellopható a session, de legjobb esetben is módosítható az átvitt adat, ráadásul úgy, hogy a végpontok nem is észlelik a változtatást. Oké, ha a kliens olyan xml-t küld/fogad, amiben adott mező valamilyen olyan módon van titkosítva, aminek a feloldásához szükséges adat nem volt kinyerhető a forgalomból, akkor jó _lehet_ a plaintext formátum is. De ez a ritkább eset...