https ssl etc... em quais páginas usar

Olá galera,

To com umas dúvidas em relação a segurança (estou desenvolvendo um site ecommerce, sou inexperiente).

Em quais páginas eu deveria usar o protocolo HTTPS para segurança do usuário? (imagino que seja na página de "login", "cadastro de usuário", e "finalizar compra" (boleto, cartão de crédito, etc)???

Porém caso sejam essas páginas mesmo, eu já adianto que o login e senha do usuário eu iria deixar em uma $_SESSION.

Mas como a session esta disponível em todas as páginas que iniciam uma sessão, então surge outra dúvida:

Pode alguém roubar o login e senha do usuário (além de outras coisas), caso isso fique na $_SESSION, ou alguém só irá interceptar essa informação quando houvesse um $_POST do usuário e senha do meu cliente???