Depende de para que tipo de transação você quer usar essa variável de ambiente. O browser codifica esse tipo de dado em base64, o que é fácil de decodificar, sendo assim, aconselho sempre o uso de SSL para aplicações críticas.

Com um sniffer de rede posso interceptar os pacotes trocados entre o servidor web e o seu browser e boom ! Já era sua privacidade :)

Obrigado, matou minha dúvida.
Uso para login de usuários (gerentes e corretores) com níveis de permissão diferentes e fiz um sistema que redireciona para SSL (https) e faz a autenticação com o browser.
Estou aprendendo coisas novas, e pelo meio do caminho a gente encontra muita abobrinha também, tem cara que deita e rola fazendo a codificação da senha/login no servidor depois que que ela já saiu peladinha do cliente. Vi um artigo/script aqui sobre segurança que o cara faz isso e depois ainda devolve o login encriptado para ser enviado de novo. É uma comédia!
Valeu!
Um abraço!

Uma outra dica..... eh vc usar hash, seja ele qual for... isso ajuda ao invasor não conseguir o dado na tentativa de decode, exemplo, use md5 com chave pública e privada... blz

Abraços.