SSLで保護されたログインページはあるものの、保護されていないトップページなどにもログインフォームが存在するサイトをたまに見かけます。

このような状態だとフォーム内容のPOSTリクエスト自体はSSLで保護されていますが、ログインフォームそのものが改竄されたページに誘導された場合に、入力した情報が盗まれる可能性があると思います。(いわゆるフィッシング)

ある程度規模の大きなサイトでも例があるので何か理由があるのではないかと思っていたのですが、 これはセキュリティリスクがそこまで高くないということなのか、あるいはSSLにするデメリットが大きいのでしょうか。