" Ilyenkor publikusan elérhető információkat látnak, nem bizalmas adatokat"
Ahol ugye tök mindegy, hogy a szerver oldalról mi indult el a kliens felé, nem baj, ha nem az érkezik meg... És onnantól, hogy ugyanezt el kell érni azonosított módon is (azaz minden kérésben ott egy, a session-t, és azzal a felhasználót azonosító adat), máris kell az end-to-end titkosítás szerinted is - akkor meg menjen minden TLS-en, mert a gagyiszar hardvereken kívül semminek nem esik nehezére ezt kezelni...