Т.е. у меня php скрипт, доступный по http, к которому обращается сторонний сайт по GET с солью. Далее этот скрипт делает https запрос (кстати, как это делается? через curl?), генерирует ответ и отправляет сайту. Ан нет, ответ-то, уйдет тогда незашифрованным. А мне-то как раз нужно, чтобы его не перехватили.
Сторонний сайт пытается авторизовать пользователя, используя мой. И в ответ я так полагаю, нужно отправить ответ авторизован/не авторизован. Если злоумышленник сможет это подделать, то авторизуется на стороннем сайте.