Anche un man in the middle non può fare molto se si usa https e si fa logout (due cose semplicissime e discretamente comode) perchè anche se per assurdo riuscisse a decriptare la connessione in un tempo "decente" ci metterebbe comunque diciamo qualche ora? (è assurdo, ci vorrebbero mesi) Beh a quel punto il cookie che ottiene è scaduto perchè ho fatto logout, quindi completamente inutile!

Ovvio, poi ci sono eccezioni di sicurezza particolari a seconda di cosa si fa e come!

In ogni caso ricordate che anche se siete protetti da wpa, tutti quelli a conoscenza della chiave (parlavamo di connessione pubblica ricordate?) possono intercettarvi volendo...
Senza poi considerare la "malafede" del gestore dell'hotspot che riceve i dati "su filo" ed a posteriori da qualsiasi chiave di sicurezza!